Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Digart przekolorowany

O Digart

Serwis digart.pl jest serwisem internetowym adresowanym do twórców sztuki cyfrowej , który obejmuje różnorodne dziedziny sztuki: od grafik, rysunków, poprzez fotografie, projekty stron internetowych, a skończywszy na poezji, prozie i innych obszaraqch sztuki. Serwis digart.pl umożliwia umieszczanie prac (graficznych oraz tekstowych) oraz ich prezentację na stronach serwisu.

Błędy

Dzisiejszej nocy miała miejsce premiera nowej wersji strony serwisu Digart. Jest on niemal już kultowy dla niektórych grafików (właśnie grafików, więc co ja tam robiłem? ;-)). Podczas przystosowywania serwisu do web dwa zerowych standardów ktoś zapewne przez przypadek popełnił kilka drobnych błędów. Jakich? spójrzcie poniżej.

Przykład

1. Link

Wpisanie zamiast nazwy użtkownika apostrofu, którego zadaniem jest zamknięcie niezabezpieczonego zapytania SQL skutkuje ukazaniem nam ładnego napisu:

MySQL err: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1  

Czyli mamy podłoże do SQL Injection, szkoda że nie ma nazw pól ;-)

2. Link

Sytuacja podobna do przedstawionej wyżej.

MySQL err: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1  

3. i 4.

Link

Odpowiedź

Dostałem dwa maile od dwóch adminów Digart z podziękowaniami.

Poprawki

Błędy związne z bazą danych zostały poprawione, jeśli chodzi o HTML Injection to dodane zostało zamienianie specjalnych znaków HTML na encje (nadal można wstrzyknąć swój napis).


Tagi: , , ,
Kategoria: Bezpieczeństwo, BugTraq


12 komentarzy

  1. ConSi napisał(a):

    Phi to nie to co ostatni atak :PP

  2. SZK napisał(a):

    Wymiekam z Ciebie Beldzio :D (w pozytywnem znaczeniu) Ja to anwet bym nie wpadł na……. nawet nie wime jaki przykłąd podać. Ale mogłeś głosowaś za starym DA tylko poprawić błędy bo ten jest gorsiejszy :]

  3. Bełdzio napisał(a):

    @SZK ja jestem koderem, a nie grafikiem ;-) Na Digi nie zaglądam ;-)

  4. bialy663 napisał(a):

    Chyba porpawili błędy MySQLa (2 pierwsze błędy)

  5. Bełdzio napisał(a):

    Tak, można powiedzieć że poprawili wszystko :-) Wczoraj dostałem 2 maile od adminów i dziś miałem o tym napisać. Dopiero wstałem więc zaraz to zrobie :P

  6. m. napisał(a):

    Moim zdaniem kolor czcionki na tym blogu jest dużym błędem :/

  7. Bełdzio napisał(a):

    A no, taka została wybrana przez autora szablonu, ale Megus (grafik) złożył już deklarację zrobienia nowego tak więc poczekamy zobaczymy :-)

  8. x3n napisał(a):

    Do listy ”wielkich i dotknietych” mozesz dopisac Wykop.pl – rowniez podatni na XSS”a ;)

  9. Bełdzio napisał(a):

    He he he :-) Jak widać sporo tego jest :-) tak tylko rzuciłem okiem na wykop – masz coś poza szukaczką?

  10. x3n napisał(a):

    Niestety, do poziomu Twojej znajomosci PHP to mi daaaaleeeeekoooooooooo… ;)

  11. coldpeer napisał(a):

    Bełdzio: http://7pl.pl/32

  12. coldpeer napisał(a):

    Bełdzio: http://7pl.pl/32

Dodaj komentarz