[nomicon]

Hejsan!

Finns det någon bra sida som kan testa och gå igenom formulär man har på sin site (PHP) för att se om det
finns brister i kodningen som möjligör sql injections och andra otrevligheter?

-Martin

[Robert]

Du menar automatiskt? Är väl inte så jobbigt att testa själv, eller?

[nomicon]

Citat:

Originally posted by Robert@Jan 14 2005, 01:19
Du menar automatiskt? Är väl inte så jobbigt att testa själv, eller?

Mjaa.. finns väl en massa olika vis man kan testa på eller? Ge mig något tips, jag är inte så hajj på det hela..


-Martin

[Robert]

det är "bara" att kolla om den tolkar sql ö.h.t via dina inputboxar.

testa att skriva in följande:

' or 1=1 --


Testa detta i en inloggningsruta. Den kommer sannolikt att uppfylla vilkoret för inloggning iomed att 1 faktiskt är = 1 och sedan plocka första bästa user ur din databas (därav rekomendationer att den första usern i tabellen ska ha 0 rättigheter och endast vara en dummy. Tyvär så brukar systemutvecklare lägga in sig själv först i systemet foch då givetvis med alla adminrättigheter påslagna.) Aj, Aj... h34r:

[nomicon]

Citat:

Originally posted by Robert@Jan 14 2005, 10:40
det är "bara" att kolla om den tolkar sql ö.h.t via dina inputboxar.

testa att skriva in följande:

' or 1=1 --


Testa detta i en inloggningsruta. Den kommer sannolikt att uppfylla vilkoret för inloggning iomed att 1 faktiskt är = 1 och sedan plocka första bästa user ur din databas (därav rekomendationer att den första usern i tabellen ska ha 0 rättigheter och endast vara en dummy. Tyvär så brukar systemutvecklare lägga in sig själv först i systemet foch då givetvis med alla adminrättigheter påslagna.) Aj, Aj... h34r:

Mmmm... det funkade inte (phew) Har även hört talasa om cross-site och css injections osv.. har du något coolt att tipsa om det?

-Martin

[danjel]

När det gäller cross site scripting bla. Tänk på att aldrig låta användare skriva in text som sen visas för andra användare,tex foruminlägg,gästböcker m.m, utan att strippa bort html taggar på något vis, htmlspecialchars() är en bra funktion för det..

[kers]

Det bästa sättet är ju naturligt vis att koda bra kod från början - men eftersom php är gjort som det gjort och folk har en förmåga att vilja knacka ihop saker utan att läsa docs så har vi en sådan osäker webb som vi har nu ..

när det gäller din egen php-kod så:

- SQL Injection, googla fram valfri guide
- XSS (cross-site-scripting): att sanera sina variablar är alltid ett måste, ett enkelt sätt är att använda Ulf Härnhammars KSES-bibliotek, http://sf.net/projects/kses/

när det gäller kod som andra har skrivit men som finns på dina servers (för du erbjuder ju hosting) så blir blir det lätt att man ligger sömnlös med tanke på de vansinnigt dåliga script som finns där ute. det här är några av de grejjer jag tvingar på mina kunder:

- alla konton (domäner) körs i chjailat i cgi-mode
- alla tmp-kataloger är noexe
- alla php.ini's (en för varje konto eftersom det är chjailat) har disallow på alla farliga funktioner som absolut inte behövs
- facistisk mod_secure setup
- register_globals av

(php ÄR ett helvete eftersom det är så flexibelt och har möjlighet till en massa systemanrop samtidigt som väldigt få som kodar grejjer vet vad de håller på med. det finns scripts och program som analyserar din kod, men jag rekomenderar dem inte eftersom de aldrig kan ersätta en kunnig människa)