Bezpečnostní chyby všude, kam se podívám.

Dobrý večer,chvíli jsem váhal, jestli mám s tímto vyjít na povrch, ale nejsem žádný hacker, nedělám nikomu zle, nezneužívám žádné chyby...Náhodou jsem na jednom soutěžním webu, který je pod záštitou Středočeského kraje, narazil na SQL injection. Jaké bylo moje překvapení, když jsem zjistil, že není problém se dostat k tabulce s uživateli, ve které je vedeno heslo v md5 a hned vedle v plaintextu! První 3 účty byly administrátorské a všechny měly totožné heslo: 123456789.Web tvořila firma, která zde před několika lety inzerovala, zkusil jsem tedy další weby z jejich portfolia. Některé používaly CMS nebo framework, jiné ale obsahovaly naprosto stejné bezpečnostní chyby.Docela mě to zaujalo, tak jsem strávil další den hledáním SQL injection na českých webech. Byl jsem naprosto v šoku:Relativně velký server, který se zabývá prodejem hudby, 27 tisíc účtů s hesly v plaintextu, v tabulce dále adresy, bankovní účty. Navíc každý uživatel zde má "kredit" v Kč, často se jedná o jednotky a desítky tisíc korun.Několik obecních webů, obří díry do systému, vč. elektronické podatelny, vytvořeno před několika lety člověkem, který studoval informační technologie a jako závěrečnou práci měl vytvořit poptávkový informační systém (dostal Déčko, v hodnocení ani zmínka o bezpečnosti, škoda).V několika případech bylo také možné se díky prolomení jednoho webu dostat např. k databázím několika webům z celého města (pneuservis, reality,...) na stejném stroji.Upřímně, pokud má někdo děravý osobní web, budiž. Jsem opravdu velmi negativně překvapen, za co jsou lidi schopni si nechat platit. Styděl bych se, kdybych si nechal zaplatit za něco takového!Zároveň jsem docela dostal "strach", jak je naloženo s mými hesly na různých webech... Mám asi 4 - 5 hesel, která střídám dle důvěryhodnosti. Asi opravdu začnu používat KeePass.EDIT: A ještě bych pro jistotu zdůraznil - žádná citlivá data nemám, udělal jsem jednoduchý pokus, kam až se dá dostat a tím to haslo. Žádný pokus někomu uškodit, atp. Zároveň se ale přiznám, že jsem nikomu nedal vědět o bezp. chybách na jeho webu, dokážu si představit, že místo toho, aby toto reklamovali u svého dodavatele, utrhli by se na mě, co si to vlastně dovoluji.

haha, a mě zatím nehackli žádný systém, který jsem postavil, občas jsem opravoval díry v převzatém systém - a to byl jednou ještě závod s týpkem, co zkoušel bezpečnostní dírykécám - hackli mi v cca 2007 phpbb 2.0.22 :/jinak to je o studiu bezpečnostních děr ... tohle je na dýl a sám si ještě googluju aktuální hrozby a ochranu - jo, jsem hroznéj, že to nesýpu vše z rukavu---------- Post added 30.09.2014 at 21:19 ----------btw ani titul nemám :/

Napsal Bacon;1128148

Dobrý večer,

chvíli jsem váhal, jestli mám s tímto vyjít na povrch, ale nejsem žádný hacker, nedělám nikomu zle, nezneužívám žádné chyby...

Náhodou jsem na jednom soutěžním webu, který je pod záštitou Středočeského kraje, narazil na SQL injection. Jaké bylo moje překvapení, když jsem zjistil, že není problém se dostat k tabulce s uživateli, ve které je vedeno heslo v md5 a hned vedle v plaintextu! První 3 účty byly administrátorské a všechny měly totožné heslo: 123456789.

Web tvořila firma, která zde před několika lety inzerovala, zkusil jsem tedy další weby z jejich portfolia. Některé používaly CMS nebo framework, jiné ale obsahovaly naprosto stejné bezpečnostní chyby.

Docela mě to zaujalo, tak jsem strávil další den hledáním SQL injection na českých webech. Byl jsem naprosto v šoku:

Relativně velký server, který se zabývá prodejem hudby, 27 tisíc účtů s hesly v plaintextu, v tabulce dále adresy, bankovní účty. Navíc každý uživatel zde má "kredit" v Kč, často se jedná o jednotky a desítky tisíc korun.

Několik obecních webů, obří díry do systému, vč. elektronické podatelny, vytvořeno před několika lety člověkem, který studoval informační technologie a jako závěrečnou práci měl vytvořit poptávkový informační systém (dostal Déčko, v hodnocení ani zmínka o bezpečnosti, škoda).

V několika případech bylo také možné se díky prolomení jednoho webu dostat např. k databázím několika webům z celého města (pneuservis, reality,...) na stejném stroji.

Upřímně, pokud má někdo děravý osobní web, budiž. Jsem opravdu velmi negativně překvapen, za co jsou lidi schopni si nechat platit. Styděl bych se, kdybych si nechal zaplatit za něco takového!

Zároveň jsem docela dostal "strach", jak je naloženo s mými hesly na různých webech... Mám asi 4 - 5 hesel, která střídám dle důvěryhodnosti. Asi opravdu začnu používat KeePass.

EDIT: A ještě bych pro jistotu zdůraznil - žádná citlivá data nemám, udělal jsem jednoduchý pokus, kam až se dá dostat a tím to haslo. Žádný pokus někomu uškodit, atp. Zároveň se ale přiznám, že jsem nikomu nedal vědět o bezp. chybách na jeho webu, dokážu si představit, že místo toho, aby toto reklamovali u svého dodavatele, utrhli by se na mě, co si to vlastně dovoluji.

absolutne nic nenormalniho. Dneska nejsou lidi schopni ani zabezpecit poradne WP

Tomve: Nevím, jestli je to tak úplně o studiu bezpečnostních děr. I když vezmu v potaz, že některé ty weby jsou třeba 5, 10 let, tak mít hesla v databázi v plaintextu, to je silná káva.hacktrack: Když jsem viděl to (ne)zabezpečení ostatních webů, říkal jsem si "zlatý WordPress". Tam se sice sem tam dozvíme o nějaké zranitelnosti, a to spíše v pluginech, než v samotném základu WP, ale nejsou tam hesla v plaintextu a účty stovek až tisíců lidí (pokud se jedná o blog / magazín bez možnosti registrace návštěvníků).Ty weby tvoří lidi, kteří mají v popisu webu text jako "Jsme zkušení vývojáři a designéři. Už se nebudete muset stydět za Váš web!", samozřejmě již od 9 tisíc (Kč, ne bezp. děr). Dodávají weby obcím, krajům, školám,... Tvoří vlastní redakční systémy, eshopy, inzertní servery.Nejraději bych vykřičel do světa, pozor na X a Y, dělají stránky děravé jako řešeto. Jenže to je, bohužel, dvousečná zbraň.

Bacon: tak sql, xss, nonplaintext hesla (md5 je taky vysměch), to je minimální základ, který by měl umět každý, což asi neumí ... pak ještě cookies, session a dalšíTak 10let staré weby, pochopil bych to jen z té strany, že v té době to hořelo míň než dnes. Ale spíše je to otázka aktualizaci systému a jeho vývoje. Tady bych se zase nedivil, že někdo nechce investovat to vývoje systému, tak to nechá tak.Za cenu lowcost webu nejde čekat nejlíp psaný web, i když je to otázka programátora, zda obětuje čas na bezpečnost, kterou mu lowcost cena nezaplatí.

Napsal Tomve;1128171

Bacon: tak sql, xss, nonplaintext hesla (md5 je taky vysměch), to je minimální základ, který by měl umět každý, což asi neumí ... pak ještě cookies, session a další

Tak 10let staré weby, pochopil bych to jen z té strany, že v té době to hořelo míň než dnes. Ale spíše je to otázka aktualizaci systému a jeho vývoje. Tady bych se zase nedivil, že někdo nechce investovat to vývoje systému, tak to nechá tak.

Za cenu lowcost webu nejde čekat nejlíp psaný web, i když je to otázka programátora, zda obětuje čas na bezpečnost, kterou mu lowcost cena nezaplatí.

hesla v plaintextu vadi jen v tom pripade ze dany uzivatel stejne heslo pouzije jinde, a ty se k nemu jednoduse dostanes.. Jakkoliv hesla zabezpecis tak bruteforcem, nebo wordlist utokem jses schopnej 90% hesel cracknout. ono pokud treba clovek zvoli vhodny framework tak v mnoha pripadech ma ochranu uz v ramci tomho frameworku.. Jenze z praxe a pen testu je to vetsinou tak 1/ stary WP, se starejma pluginama nebo themes 2/ vlastnorucne psany aplikace skoro programatorama ktery nevi jak osetrit promeny.. 3/ stary web aplikace ktery nikdo neaktualizuje, proc taky je to narocny..

hacktrack: s těmi body souhlasím, ale třeba bruteforce jde zablokovat stylem 3x a dost - např. zablokováním příhlašení na dalších xx minut + odeslat info, jenže tohle je zase o času a odzkoušení, takže ta cena systému roste a rosteframeworky, osobně používám jen jquery, dál jsem se nechtěl dostat :D

Napsal Tomve;1128171

Bacon: tak sql, xss, nonplaintext hesla (md5 je taky vysměch), to je minimální základ, který by měl umět každý, což asi neumí ... pak ještě cookies, session a další

Tak 10let staré weby, pochopil bych to jen z té strany, že v té době to hořelo míň než dnes. Ale spíše je to otázka aktualizaci systému a jeho vývoje. Tady bych se zase nedivil, že někdo nechce investovat to vývoje systému, tak to nechá tak.

Za cenu lowcost webu nejde čekat nejlíp psaný web, i když je to otázka programátora, zda obětuje čas na bezpečnost, kterou mu lowcost cena nezaplatí.

To je celkem rozumně shrnutá situace.Souhlas.No v zásadě,pro mě osobně,je celkem jedno jestli to je v MD5 nebo plaintextu,u MD5,se zapotí programátor, o vteřinku dvě více no v opačném případě,pokud dotyčný není programátor,tak to asi nějaký minimální význam má ta MD5, plaintext je dobrý jedině v hlavě.V současné době,se MD5 již nepovažuje, ani za hash,na který by se dalo například k hashování hesel vůbec myslet na to to použít ,co se týká dobré bezpečnostní politiky,kde má být vše ošetřeno správně.Samozřejmě u stránek,kde v podstatě o nic nejde.Se to dá nějak trochu pochopit,např na wordpressu,mám blog,na kterém píši články,jen tak pro radost,tak to klidně nechám v MD5 bez problému.A budu klidně spát.Ale pokud bych měl třeba alza.cz,tak by to byla sebevražda.

Napsal Tomve;1128220

hacktrack: s těmi body souhlasím, ale třeba bruteforce jde zablokovat stylem 3x a dost - např. zablokováním příhlašení na dalších xx minut + odeslat info, jenže tohle je zase o času a odzkoušení, takže ta cena systému roste a roste

frameworky, osobně používám jen jquery, dál jsem se nechtěl dostat :D

ja se bavim o bruteforce utoku kdyz nekdo vykrade web.. pripadne ziska DB uzivatel. bruteforce utok na autorizaci je dnes nesmysl. Ale stacilo by pouzit 25nejhorsich hesel v historii pripadne, 50 nejhorsich hesel v CR.. clovek bude uspesny. pri jednom pentestu vuci velke hostingove firme byl hlavni root heslo123 .. vsak pri utocich na nbu sr.. bylo heslo nbusr123

Napsal hacktrack;1128235

ja se bavim o bruteforce utoku kdyz nekdo vykrade web.. pripadne ziska DB uzivatel. bruteforce utok na autorizaci je dnes nesmysl. Ale stacilo by pouzit 25nejhorsich hesel v historii pripadne, 50 nejhorsich hesel v CR.. clovek bude uspesny. pri jednom pentestu vuci velke hostingove firme byl hlavni root heslo123 .. vsak pri utocich na nbu sr.. bylo heslo nbusr123

jo takhle, to pak jo, i když získaní db uživatel taky není dobrý

všeobecně je situace s mysql injection hrozná. Hodně moc velkých webové stránek má napsáno heslo v plain text s navštěvností asi stovky tisíc denně. Psal jsem jim to a ani jednou jsem prozatím nedostal odpověď :D

Kdysi jsem se nudil - vyzkoušel jsem tak 100 až 150 stránek, z toho dobrých 20 bylo nezabezpečených na obyčejné ' OR 1=1 # (základní sql injection). Napsal jsem jim mail, upozornil na chybu, a asi jen 3 odpověděli, že děkují za upozornění a 2 z nich se zajímali o to, jak jsem se tam dostal, aby to mohli opravit.Asi o měsíc později jsem ty stejné weby vyzkoušel znova - naprostá většina z nich to měla pořád úplně stejné.Na jednu stranu chápu, že se jim nechce dávat větší peníze za tvorbu kvalitního webu, resp. jeho následné zabezpečení, když se vlastně zatím nic nestalo a nikdo to nezneužil... Na druhou stranu, jako programátor, s tím moc nesouhlasím.

Penetrační testování v ČR jako služba chybí. Sice vím, že tu nějaké pokusy jsou, ale vlastně nic, co by šlo brát vážně. Dokud lidi nazačnou na děravých webech prodělávat prachy, tak do toho ani investovat nebudou. Takže je to sice blbé, ale je třeba více black hat hackerů, kteří trochu pročeří vodu.

Napsal siva01;1134859

Penetrační testování v ČR jako služba chybí. Sice vím, že tu nějaké pokusy jsou, ale vlastně nic, co by šlo brát vážně. Dokud lidi nazačnou na děravých webech prodělávat prachy, tak do toho ani investovat nebudou. Takže je to sice blbé, ale je třeba více black hat hackerů, kteří trochu pročeří vodu.

brzy.. otazka jestli se tu najdou zakaznici..

Projíždím nabídky na Webtrhu a nestačím se divit, zase děravé jako prase... a lidé ještě přihazují do aukce. Co s tím?EDIT: Další. A když vidím tu astronomickou cenu, za jakou se to snaží prodat, tak bych brečel. Uživatelům odesláno info, ale stejně to vidím tak, že se budou maximálně vztekat, že jsem si dovolil je otestovat.