|
Gde podvući crtu sa prikazivanjem grešaka
Sada sam hteo da pogledam DZ i pojavila se greška
Citat:
Video sam takve stvari na jos milion mesta, dali uopste treba prikazivati ovako detaljnu informaciju korisniku. Ja sam od pre godinu dana poceo sa sistemom gde se korisniku prikaze samo generic greska tipa "sorry, imamo problem sa bazom" a u log i na mail stize detaljna informacija. Juce sam imao jedan mali problem, jedan moj smarty plugin mi je izbacivao gresku za jednu sliku, doduse moje (javne) greske su sada sve tipa "sorry, internal error", a onda sam pogledao log i vidim da getimagesize() pravi problem. Posle analize drugih, vidim da je problem samo sa tom slikom i ni jednom drugom, na kraju je uzrok to sto je ko zna ko i kako sliku smanjivao "na silu" (neporporcionalno, slika je izgledala kao kada gledate 16:9 na 4:3 ekranu) pa se ocigledno nesto poremetilo sto je zbunjivalo getimagesize(). |
Sakrivati definitivno sve. Eventualno, ako je došlo do neke greške koja može pomoći korisniku (npr. korisnik tražio neku stranicu koja ne postoji, a sistem ima mogućnost da "pretpostavi" šta je korisnik ustvari tražio), prikazati neku dodatnu informaciju, ali opet strogo kontrolisanu.
|
Da, trebalo bi skrivati sve i upucivati na self-made error stranice. Ovako se izbegava otkrivanje informacija koje kasnije mogu da se iskoriste na raznorazne nacine.
U nekim primerima je najbolja fora sto error poruke stampaju i neke ulazne parametre pa je samim tim moguce izvrsiti i XSS napad. A bas malopre sam auditao jednu aplikaciju i ladno mi je posle nekog zezanja oko retrivepassword stigao na e-mail error koji ustvari trebao da bude na stranici u kojem se izmedju ostalog nalazi i par pathova koje ne bi trebao da znam. |
I ja sam za sakrivanje svega, koliko je to moguce. I mene je iznenadila ta poruka na zoni, i previse je deskriptivna. Mogu da zamislim koliko sada wannabe hackera razmislja kako to da iskoristi :)
|
Citat:
U DEBUG modu skripta prikazuje mnogo više podataka, ali u "produkcionom" okruženju bi trebalo da prikaže samo kratno "Whoops!" i dosta :D Citat:
|
Ne dolazi bezveze php.ini koji je namenjen za produkcione masine sa display_errors=off :)
|
ja koristim custom error handler, i DEBUG konstantu (ne varijablu da ne bi mogao napadac da je setuje ako je ukljuceno register_globals). Ako je DEBUG 0 onda sve sakrije (i naravno loguje u error_log) to je kao production level... a ako nesto crkne ukljucim DEBUG 1,2, ili 3 zavisno koliko detalja mi treba... 1 prikazuje samo greske, 2 radi kao E_ALL, a 3 prikaze sve i jos uradi debug_backtrace i var_dump svega...
moram malo da sredim taj kod, pa cu da ga obesim negde, ako nekog bude zanimalo.. |
Citat:
|
Imam i ja nesto slicno, ako je iskljucen debug (na local masini) onda ispisuje sve i to vrlo detaljno, a ako je ukljucen onda samo to isto sacuva u log a ispise "sorry" :) Debug je naravno konstanta i ne moze se nikako ukljuciti naknadno niti kroz request (informacija za Ivana :) )
|
Ako nije problem zelio bih da vidim sve te kodove koje imate oko debuginga i security-ja tj proucavam razna resenja i pravim neki svoj security model ... takodje to malo kombinujem sa socijalnim inzenjeringom i onda pravim neki social security model ... bla bla ... videcete za koju godinu ;)
Tako da ako imate vremena i zelje pustite neki code ... Hvala |
Uglavnom, ako nekom trebaju funkcije za čišćenje stringova i prosta zamena var_dump koja je otporna na XSS može da proba ove funkcije:
PHP kôd:
|
kako tacno funkcionise taj XSS napad na var_dump ?
/me stupid... |
Ako se ne varam, posaljes zahtev skripta.php?nesto=<script>bla bla bla</script> (naravno, url-encoded), a u skripti se (kao pomoc prilikom debugovanja) nalazi var_dump($_GET), tako da browser automatski izvrsi skriptu prosledjenu kao request.
Ovo je samo pojasnjen primer, najprostije bi bilo da imas guestbook na sajtu, i da ne escapujes html prilikom ubacivanja istog u bazu ili ispisa (da zanemarimo sql injection ovom prilikom). Znas sta bi posle bilo. :) Jesam li u pravu? :) |
Off Topic: Grammar Audit za security-net.biz: Ivane, pise se "labOratorija" ;) |
Citat:
Kôd:
/?a=&%3C/pre%3E%3Cscript%3Ealert(0);%3C/script%3E%3Cpre%3EDrugi problem je čišćenje UTF ekodiranog sadržaja. To rešava prva funkcija. ... I tako dan za danom, pred kockastim ekranom :D Btw, jedna od prednosti (ili mana u zavisnosti od ugla iz kog gledaš) open source projekta je što jako brzo naučiš ovakve stvari. Neće proći ni 5 min i neko će ti ih već izbunariti. |
@zextra
upravo tako @Milos Vukotic hvala za ispravku, sajt je napravljen na brzinu kad nadjem vremena uradicu ga skroz drugacije ... @Ilija Studen Citat:
|
Nije problem napraviti grešku. Problem je kad iz cele priče ne naučiš ništa i nastaviš da je praviš non stop ;)
Btw, uveren sam da mnogo developera ne zna puno o sigurnosti baš zato što prave aplikacije koje ne nailaze na veliku popuparnost pa ne predstavljaju potencijalnu metu. I onda kad te odjednom baci da moraš da napraviš sigurnu aplikaciju odjednom frka. Znam da je meni jer tom delu ranije nisam posvećivao previše pažnje - nije bilo potrebe i nisam bio dovoljno plaćen. Što pre naučiš šta sve možeš da očekuješ i čega treba da se pažiš to bolje. Daleko da kažem da možeš preko noći postati security ekspert, ali bar naučiš čega treba da se čuvaš i kako da odmah u startu sasečeš potencijalne probleme. A to je... priceless :D |
a jedno pitanje: ako je aplikacija u debug modu pretpostavka je da si ti autor koji je debaguje, zasto bi ti sam sebi slao XSS kod ?
Kolike su sanse da se napravi da neko drugi posalje XSS, a da se on tebi nadje u debug outputu ? Jer to kapiram da bi bilo vrlo opasno, bilo bi extremno lako na primer oteti sesiju adminu tako... ali mi nije bas najjasniji scenario u kom bi to bilo realno ostvarivo... druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno... |
Citat:
|
Citat:
Poenta je da rupa postoji i da postoji scenario u kom ona može da bude iskorišćena. Ako ne trebaju meseci da je pokrpiš već to možeš da uradiš za 15 min što da ne? Jedan propust manje. |
@ivanhoe: pa zamisli neki MVC framework, ciji view ima opciju da ukljuci debug output dodavanjem recimo dump_info=1 u url, i ciji autor nije iskljucio taj "feature" zbog jednostavnosti.
Za nepoverovati je sta sve ljudi rade, racunajuci na "security through obscurity"; gore je verovati u ovaj tip sigurnosti, nego nemati implementiranu sigurnost :) Bar znas na cemu si... |
Da se nastavim na Iliju i zextru ...
Ako je neko bas resio da te "obori" on ce to da uradi, u konkretnom primeru ce verovatno traziti nacin da ukljuci debug mode sto opet moze na vise nacina zavisno od same aplikacije. Sad dolazimo do dela o kome niko ne razmislja preterano (a o kome spremam esej) a to je Socijalni Inzenjering. Ova metoda je najopasnija i u vecini slucajeva produktivna. Nebiste verovali sta su ljudi u stanju da urade za Vas ako im se predstavite na pravi nacin. |
Citat:
Btw, to je čest odgovor na feature request :D |
Hehe ...
Taj feature nema nijedna kompanija kod nas, cak i one koje bi trebale da imaju. Testirao sam ih malo ... :p Ovo se resava jednostavnom obukom kadrova a najvise administratora koji je zaduzen da bude dosadan. Ali polako ne mozemo sve odjednom. Btw uz onaj esej gore ide bas i program za obuku kadrova ali nece to bas skorije. |
| Vreme je GMT +2. Trenutno vreme je 07:53. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.