[SOLUCIONADO] AYUDA-Inyección de Código SQL.

art_rockerd · #1 (**permalink**) 07/02/2013, 15:20

Hola colegas, buen día, necesito de su ayuda para este tema, resulta que el proyecto web que estoy desarrollando, el cliente hizo que lo atacaran para poder ver la vulnerabilidad de este, para los resultados me dijeron que mi script ajax_loging.php era vulnerable a inyección de código... Yo nose mucho sobre eso, pero leyendo lo que yo habia hecho era "sanitizar" las variables recibidas en el input en una función y ya devolverlas "limpias" a mi script para que enviara la query a BDD... y tambien tengo una validacion del lado del cliente con JS , pero bueno se que JS es mas facil de burlar que las validaciones a nivel Servidor... les comparto cual es mi script y la funcion que uso para sanitizar las variables.

ajax_login.php

Código PHP:

Ver original<?php session_start();
//EN ESTE ARCHIVO TENGO MIS FUNCIONES PARA SANITIZAR LAS VARIABLES
include "security.php";
if (isset($_POST['bandera'])){
function verificar_login($username,$password)
{
    $consulta= "SELECT id_user,id_profile,username,pass,id_canal,clave_suc,logeado FROM users WHERE username='$username' and pass='$password'";
    include "conexion.php"; 
    $ejecuta = mysql_query($consulta,$conexion);
    $idprofile="";
    $iduser="";
    if(mysql_num_rows($ejecuta)<1)
        {
    $accion="FALLO INICIO DE SESION";
    $origen=$_SERVER['REMOTE_ADDR'];
    generaLogs($username,$accion,$origen);
        echo "Usuario no Encontrado";
        }else{
        while ($row = mysql_fetch_array($ejecuta))
            {
                $logeado=$row['logeado'];
                if ($logeado=="1"){
                    //header("Location:yaestalogeado.html");   // rediriges al index
                    echo "logeado";
                    $accion="USUARIO YA TENIA UNA SESION ABIERTA";
                    $origen=$_SERVER['REMOTE_ADDR'];
                    generaLogs($username,$accion,$origen);
                }else {
                    //Actualizar tabla de users poniendo el estado de logeado en verdadero
                    $consulta2= "UPDATE users SET logeado=true WHERE username='$username'";
                    include "conexion.php"; 
                    $ejecuta2 = mysql_query($consulta2,$conexion);
                        $accion="USUARIO INICIA SESION EN EL SISTEMA";
                        $origen=$_SERVER['REMOTE_ADDR'];
                        generaLogs($username,$accion,$origen);
                    //recupera el usuario
                    $nameUser=$row['username'];
                    //RECUPERAr columna id_ perfil
                    $idprofile=$row['id_profile'];
                    
                    //GUARDAMOS DATOS NECESARIOS EN VARIABLES DE SESION
                    //ESTO PARA QUE PUEDAN SER UTILIZADOS EN CUALQUIER MOMENTO DURANTE LA SESION
                    $_SESSION["id_user"] =$iduser;
                    $_SESSION["u_name"] =$nameUser;
                    
                    echo $idprofile;
                }//end usuario no logeado
            }//end while
        }//END else usuario encontrado
        //mysql_close();
}//termina function verifica_login
 
if(trim($_POST["user_name"])!= ""&& trim($_POST["password"])!= "")  
{
        //recibo las variables y las sanitizo con la funcin Securityu
        $user = strtoupper(trim(Security($_POST["user_name"])));  
        $pass = trim(Security($_POST["password"])); 
        //$pwd=$_POST['password'];
        //$pwd=hash('sha256', $pass);
        $pwd=sha1($_POST['password']);
//LO QUE HAGO AQUI ES ENVIAR LAS VARIABLES CACHADAS POR POST A MI 
//FUNCION QUE "SANITIZA" LAS VARIABLES PARA EVITAR INYECCION DE CODIGO //SQL    
verificar_login($user,$pwd);
}else{
    echo "no";
}    
  }else{
        header("Location:error.php");   // rediriges al index
  }
?>

Ahora les comprato la funcion que utilizo para sanitizarlas.
security.php

Código PHP:

Ver original<?php
// Modificamos las variables pasadas por URL
foreach( $_GET as $variable => $valor ){
$_GET [ $variable ] = str_replace ( "'" , "'" , $_GET [ $variable ]);
}
// Modificamos las variables de formularios
foreach( $_POST as $variable => $valor ){
$_POST [ $variable ] = str_replace ( "'" , "'" , $_POST [ $variable ]);
}
// Modificamos las variables pasadas por URL
function Security($_Cadena) {  
    $_Cadena = trim(addslashes(stripslashes(strip_tags($_Cadena))));  
    $_Cadena = str_replace(chr(160),'',$_Cadena);  
    //falta agregar * si es necesario
    $nopermitidos = array("'",'´','~','¨',' ','/','@','#','&','$','!','¡','?','¿','=','(',')','\\','[',']','{','}','_','-','%','<','>','+','|',';',"\"");
    $_Cadena = str_replace($nopermitidos,"", $_Cadena);
    //return mysql_real_escape_string($_Cadena);
    return mysql_real_escape_string($_Cadena);  
} 
?>

Segun lo que lei con eso se puede evitar la inyección de codigo, aunque como les digo, la verdad no se como lo hacen o por donde lo hacen,yo supongo que es atraves de los inputs del formulario y de la URL... se supone que Security.php sanitiza tanto las variables pasadas por URL(_GET) como las que van por el input (_POST)

Podrian decirme si esto no srive, o cual es la mejor forma de evitar la inyeccion de codigo a nivel servidor??.... Estoy migrando mi API de MYSQL a MySQLI, y ahi incluyho esta instruccion

Código PHP:

Ver original$username = $mysqli->real_escape_string($username);
    $password = $mysqli->real_escape_string($password);

Esto apenas lo estoy desarrollando por que estoy aprendiendo MySQLI ( cuando me entere que MYSQL de PHP estaba deprecada

)

Gracias de antemano por sus comentarios. Saludos!

pateketrueke · #2 (**permalink**) 07/02/2013, 15:48

Las funciones que tienes y haces están de más, no hacen falta si usas real_escape_string() de MySQLi.

art_rockerd · #3 (**permalink**) 07/02/2013, 16:21

Cita:

Iniciado por pateketrueke

Las funciones que tienes y haces están de más, no hacen falta si usas real_escape_string() de MySQLi.

Si pero lo que se me hace raro es que segun ellos mi codigo sigue siendo vulnerable, entonces no sirven las funciones? Gracias!

pateketrueke · #4 (**permalink**) 07/02/2013, 16:28

Cita:

Iniciado por art_rockerd

Si pero lo que se me hace raro es que segun ellos mi codigo sigue siendo vulnerable, entonces no sirven las funciones? Gracias!

¿Según quienes?

Todo código es vulnerable, es más, podrías tener miles de funciones de seguridad pero si no las usas en los momentos adecuados entonces no sirven de nada.

Quizá esa es la parte que estás olvidando, posiblemente no sabes usar la seguridad que ya tienes.

art_rockerd · #5 (**permalink**) 07/02/2013, 16:43

Cita:

Iniciado por pateketrueke

¿Según quienes?

Todo código es vulnerable, es más, podrías tener miles de funciones de seguridad pero si no las usas en los momentos adecuados entonces no sirven de nada.

Quizá esa es la parte que estás olvidando, posiblemente no sabes usar la seguridad que ya tienes.

Sip, es por eso que pido apoyo aqui posteando el codigo jejejee, segun las personas que hicieron el ataque para detectar vulnerabilidades, se puede hacer inyección de código. Entonces queria saber si lo que tengo en mi codigo no sirve para evitar inyección de código. O de que manera se puede evitar. Gracias!

pateketrueke · #6 (**permalink**) 07/02/2013, 16:57

Como te he dicho antes, el contenido de security.php no sirve de nada, lo que muestras después si pero debes usarlo siempre que necesites escapar variables.

Dicho script que tienes es un placebo y nada más, probablemente ni usas las funciones que tienes ahí, ¿entonces que caso tiene usarlo?

O mejor dicho aún, ¿sabes que es lo que hace?

art_rockerd · #7 (**permalink**) 07/02/2013, 17:10

Cita:

Iniciado por pateketrueke

Como te he dicho antes, el contenido de security.php no sirve de nada, lo que muestras después si pero debes usarlo siempre que necesites escapar variables.

Dicho script que tienes es un placebo y nada más, probablemente ni usas las funciones que tienes ahí, ¿entonces que caso tiene usarlo?

O mejor dicho aún, ¿sabes que es lo que hace?

Pss segun yo si las uso, cuando recibo las variables por POST antes de enviarlas a la funcion que hace la consulta, invoco la funcion que esta en security para que me retorne la variable ya sanitizada, ya despues de eso, la mando a la funcion que hace la consulta a bdd.. ahi utilizo esas variables que soy usser y password.

pateketrueke · #8 (**permalink**) 07/02/2013, 17:13

Entonces estás haciendo dos veces las cosas, lo que si me queda claro es que tu función Security() no sirve y ni hablar.

Lo único que debes usar es las funciones propias del motor de la base de datos para dicho efecto, no más.

art_rockerd · #9 (**permalink**) 07/02/2013, 17:49

Cita:

Iniciado por pateketrueke

Entonces estás haciendo dos veces las cosas, lo que si me queda claro es que tu función Security() no sirve y ni hablar.

Lo único que debes usar es las funciones propias del motor de la base de datos para dicho efecto, no más.

Ahorita termine de migrar a Mysqli y uso el mysql_escape_string, cres q con eso sea suficiente? Gracias!

pateketrueke · #10 (**permalink**) 07/02/2013, 17:59

Si, creo que si.

rottenp4nx · #11 (**permalink**) 07/02/2013, 18:13

También consultas parametrizadas

Saludos

abimaelrc · #12 (**permalink**) 07/02/2013, 18:24

Bueno si usa la parametrizadas no hay necesidad de usar el *_real_escape, así que puedes escoger cualquiera de los dos, yo prefiero la de parametrizadas.

rottenp4nx · #13 (**permalink**) 07/02/2013, 18:25

Cita:

Iniciado por abimaelrc

Bueno si usa la parametrizadas no hay necesidad de usar el *_real_escape, así que puedes escoger cualquiera de los dos, yo prefiero la de parametrizadas.

No sabía eso, pero si se usa un string como parametro, la función limpia la variable ?

Saludos

abimaelrc · #14 (**permalink**) 07/02/2013, 18:46

La idea no es limpiar sino evitar inyección sql. Con tan solo usar las parametrizadas evitas first order injection http://download.oracle.com/oll/tutor...tm_attacks.htm

#15 (**permalink**) 08/02/2013, 07:26

al ser parametrizada como ustedes dicen se evita que se concatene y evitando asi inyecion , si me equivoco corrijan.

un test basico es introducir en todos tus formularios comillas y demas segun el manual de seguridad mysql

Intente introducir comillas simples y dobles (''' y '"') en todos sus formularios web. Si obtiene cualquier clase de error MySQL, investigue el problema sin demora.

aqui la guia
http://dev.mysql.com/doc/refman/5.0/...uidelines.html

art_rockerd · #16 (**permalink**) 08/02/2013, 10:22

Cita:

Iniciado por abimaelrc

La idea no es limpiar sino evitar inyección sql. Con tan solo usar las parametrizadas evitas first order injection http://download.oracle.com/oll/tutor...tm_attacks.htm

Interesante, no se nada de consultas parametrizadas, estoy buscando información sobre eso.

art_rockerd · #17 (**permalink**) 08/02/2013, 10:36

Cita:

Iniciado por abimaelrc

Bueno si usa la parametrizadas no hay necesidad de usar el *_real_escape, así que puedes escoger cualquiera de los dos, yo prefiero la de parametrizadas.

Encontre esto...:

PHP

En el caso de PHP puede ser interesante hacer uso de PHP Data Objects (PDO) y las consultas parametrizadas (bindParam())

A continuación se presenta un ejemplo de sentencia SQL que devuelve los usuarios de la tabla TablaUsuarios cuyo valor de la columna Nombre coincide con el texto “Flu”:

Código PHP:

      $sql= ‘SELECT * FROM TablaUsuarios WHERE Nombre= :name’;

 
    $query= $conn->prepare($sql);

 
    $query->bindParam(‘:name’, ‘Flu’);

 
    $query->execute();

Fuente: http://www.flu-project.com/protegien...2ee-y-net.html
Es una de las formas que encontre de parametrizar las consultas, y usan PDO, aunque estoy termiado de migrar todo a MYSQLi (uu') usando real_escape_string, creen que sea mejor esta forma que les posteo aqui?

Gracias por sus comentarios.

rottenp4nx · #18 (**permalink**) 08/02/2013, 10:36

http://www.php.net/manual/es/mysqli....statements.php

Saludos

kies89 · #19 (**permalink**) 08/02/2013, 10:43

Cita:

Iniciado por art_rockerd

Encontre esto...:

PHP

En el caso de PHP puede ser interesante hacer uso de PHP Data Objects (PDO) y las consultas parametrizadas (bindParam())

A continuación se presenta un ejemplo de sentencia SQL que devuelve los usuarios de la tabla TablaUsuarios cuyo valor de la columna Nombre coincide con el texto “Flu”:

Código PHP:

      $sql= ‘SELECT * FROM TablaUsuarios WHERE Nombre= :name’;

 
    $query= $conn->prepare($sql);

 
    $query->bindParam(‘:name’, ‘Flu’);

 
    $query->execute();

Fuente: http://www.flu-project.com/protegien...2ee-y-net.html
Es una de las formas que encontre de parametrizar las consultas, y usan PDO, aunque estoy termiado de migrar todo a MYSQLi (uu') usando real_escape_string, creen que sea mejor esta forma que les posteo aqui?

Gracias por sus comentarios.

Ese código es lo mismo que:

Código PHP:

      $sql= ‘SELECT * FROM TablaUsuarios WHERE Nombre= :name’;

 
    $query= $conn->prepare($sql);

 
    $query->execute(array(':name'=>'Flu'));

cierto¿?

art_rockerd · #20 (**permalink**) 08/02/2013, 11:52

Cita:

Iniciado por rottenp4nx

http://www.php.net/manual/es/mysqli....statements.php

Saludos

Perfecto para MSQLi :), bueno entonces usare las sentencias preparadas, y teoricamente con eso puedo evitar inyeccion de código cierto? Muchas gracias por su ayuda.

abimaelrc · #21 (**permalink**) 08/02/2013, 13:46

Repito solo es para first order injection lean el enlace que comenté. Como quiera recomiendo que depures la insersión de html y otras cosas, si es que no quieres tener eso en la base de datos.

art_rockerd · #22 (**permalink**) 13/02/2013, 17:18

Hola amigos, la empresa que testeo mi aplicacion me envio esta informacion, me comentan que estos son los parametros de etrada que utilizan para inyectar codigo SQL a mi base de datos...

Adicionalmente enviamos los parámetros utilizados para generar el SQL injection para la validación de datos de entrada

Place: POST
Parameter: user_name
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: user_name=test' AND 1604=1604 AND 'ZKgm'='ZKgm&password=test&rand=0
.9940696898259294

Type: UNION query
Title: MySQL UNION query (NULL) - 6 columns
Payload: user_name=test' UNION ALL SELECT NULL,CONCAT(0x3a73676b3a,0x704c656
a4c734a4e586d,0x3a6579633a),NULL,NULL,NULL,NULL#&p assword=test&rand=0.9940696898
259294

Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: user_name=test' AND SLEEP(5) AND 'Nbsf'='Nbsf&password=test&rand=0.
9940696898259294

abimaelrc · #23 (**permalink**) 13/02/2013, 20:24

Se supone que si usaste lo que te indicamos no hayas tenido problemas. ¿Lo tuviste?

Astro96 · #24 (**permalink**) 14/02/2013, 13:45

El error esta en que envias el contenido de la variable que no has sanitizado. Saludos

//recibo las variables y las sanitizo con la funcin Securityu
$user = strtoupper(trim(Security($_POST["user_name"])));
$pass = trim(Security($_POST["password"])); // <--Esto estra sanitizado - OK
//$pwd=$_POST['password'];
//$pwd=hash('sha256', $pass);
$pwd=sha1($pass); // <--- esto NO ESTA sanitizado - Error!
//LO QUE HAGO AQUI ES ENVIAR LAS VARIABLES CACHADAS POR POST A MI
//FUNCION QUE "SANITIZA" LAS VARIABLES PARA EVITAR INYECCION DE CODIGO //SQL
verificar_login($user,$pwd); // <--Estas enviando el contenido de la variable que no esta sanitizada

art_rockerd · #25 (**permalink**) 14/02/2013, 15:36

Cita:

Iniciado por abimaelrc

Se supone que si usaste lo que te indicamos no hayas tenido problemas. ¿Lo tuviste?

Hola, pues no he podido implementar consultas parametrizadas, lo he intentado de muchas maneras con Mysqli, pero solamente no me funciona... asi que no he podido implementar las consultas parametrizadas...

Código PHP:

Ver originalfunction login($user,$pwd){
    
        // CONEXION A BDD
        $host="localhost";
        $user="root";
        $pass="";
        $schema="pruebas";
            $mysqli = new mysqli($host,$user,$pass,$schema);
            if (mysqli_connect_errno()) {
                printf("Fallo la conexion a la base de datos: ", mysqli_connect_error());
            }
                
            //PREPARAMOS LA CONSULTA
    $consulta = "SELECT username,pass FROM users WHERE username=? and pass=?";
 
        if ($sentencia = $mysqli->prepare($consulta)) {
            $sentencia->bind_param('ss', $user, $pwd);      
            /* ejecutar la sentencia */
            $sentencia->execute();
        
            /* vincular las variables de resultados */
            $sentencia->bind_result($username, $pass);
        
            /* obtener los valores */
            while ($sentencia->fetch()) {
                
                printf ("%s (%s)\n", $username, $pass);
            }
        
            /* cerrar la sentencia */
            $sentencia->close();
        }
 
 
}

realmente ya no se que hacer :S intente todo lo de la documentacion pero no logro obtener resultados... estoy intentando en ese script probar las sentencias preparadas, solo quiero imprimr usuario y passord que coincida con los parametros introducidos por el usuario, pero nada..en firebug pude ver que simplemente no obtengo ninguna respuesta. Me pueden ayudar a implementar las consultas parametrizadas?

http://www.php.net/manual/es/mysqli....statements.php
http://php.net/manual/es/mysqli-stmt.bind-param.php
http://www.php.net/manual/es/mysqli-...ind-result.php
http://www.php.net/manual/es/mysqli-stmt.fetch.php
http://www.php.net/manual/es/mysqli-stmt.bind-param.php

art_rockerd · #26 (**permalink**) 14/02/2013, 15:37

Cita:

Iniciado por Astro96

El error esta en que envias el contenido de la variable que no has sanitizado. Saludos

//recibo las variables y las sanitizo con la funcin Securityu
$user = strtoupper(trim(Security($_POST["user_name"])));
$pass = trim(Security($_POST["password"])); // <--Esto estra sanitizado - OK
//$pwd=$_POST['password'];
//$pwd=hash('sha256', $pass);
$pwd=sha1($pass); // <--- esto NO ESTA sanitizado - Error!
//LO QUE HAGO AQUI ES ENVIAR LAS VARIABLES CACHADAS POR POST A MI
//FUNCION QUE "SANITIZA" LAS VARIABLES PARA EVITAR INYECCION DE CODIGO //SQL
verificar_login($user,$pwd); // <--Estas enviando el contenido de la variable que no esta sanitizada

Si muchas gracias, me percate de eso, pero aun asi pudieron hacer inyeccion.. :S ahorita estoy intentando implementar las consultas parametrizadas, pero no tengo exito.

art_rockerd · #27 (**permalink**) 15/02/2013, 16:29

Mi código quedo como sigue :

Código PHP:

Ver original<?php 
//FUNCION RECIBE PARAMETROS DE ENTRADA
function login($user,$pwd){
    
        // CONEXION A BDD
        $host="localhost";
        $userbd="root";
        $pass="";
        $schema="pruebas";
            $mysqli = new mysqli($host,$userbd,$pass,$schema);
            if (mysqli_connect_errno()) {
                printf("Fallo la conexion a la base de datos: ", mysqli_connect_error());
            }
                
            
        $consulta = "SELECT username,pass FROM users WHERE username=? and pass=?";
        //PREPARAMOS LA CONSULTA
        if ($sentencia = $mysqli->prepare($consulta)) {
        //ENVIAMOS LOS PARAMETROS
        $sentencia->bind_param('ss', $usuario, $pasword);
        //ESCAPAMOS
        $usuario = $mysqli->real_escape_string($user);
        $pasword = $mysqli->real_escape_string($pwd);
            /* ejecutar la sentencia */
            $sentencia->execute();
             if ($sentencia->errno) {
                  echo "FAILURE!!! " . $sentencia->error();
        }
            /* vincular las variables de resultados */
                                   
            //**************************RESULTADOS EN ARRAY ASOCIATIVO*******************************/
            $result = $sentencia->get_result();
            if($result->num_rows <1) {echo "no se encontro usuario";
               echo "<a href='logingInyection.html'>Regresar</a>";}
             //fetch_assoc retorna un array asociativo con la siguiente estructura array('campo base datos'=>'valor')
             /* obtener los valores */
                       while($row = $result->fetch_assoc()) {
                       $nameUser=$row['username'];
                        $idprofile=$row['pass'];
                        echo "$nameUser";
                        echo "<a href='logingInyection.html'>Regresar</a>";
                       }
            /**************************************************************************************/                       
            /* cerrar la sentencia */
            $sentencia->close();
        }else{
               //inyeccion
       }
       mysqli_close($mysqli);//cerramos la conexion
}
 
 
//recibimos parametros
if(trim($_POST["username"])!= ""&& trim($_POST["pass"])!= "")   
    {
        //recibo las variables y las sanitizo con la funcin Securityu
        $user = $_POST["username"];  
        $pass = $_POST["pass"]; 
        $pwd=sha1($pass);
        login($user,$pwd);
    }else{
        echo "Algun campo esta vacio<br>
        <a href='logingInyection.html'>Regresar</a>";
    }  
 
 
?>