Foros del Web » Programando para Internet » PHP »

Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Estas en el tema de Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE. en el foro de PHP en Foros del Web. Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE. Ha lo grado iniciar session el hacker y tiene como nombre true , tengo mysql_real_scape_string,nose ...
  #1 (permalink)  
Antiguo 11/04/2011, 08:51
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Pregunta Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.


Ha lo grado iniciar session el hacker y tiene como nombre true , tengo mysql_real_scape_string,nose que como lo a consegui espero puedan ayudare a evitarlo gracias.
  #2 (permalink)  
Antiguo 11/04/2011, 10:23
Avatar de eits  
Fecha de Ingreso: junio-2005
Ubicación: valladolid, yucatán
Mensajes: 1.655
Antigüedad: 19 años, 6 meses
Puntos: 88
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

pon el código que tienes
__________________
El amor es la locura mas lucida que tiene el hombre.- Andres Henestrosa
la tristeza no existe, solo es... la ausencia de la felicidad.
  #3 (permalink)  
Antiguo 11/04/2011, 11:06
 
Fecha de Ingreso: abril-2011
Mensajes: 33
Antigüedad: 13 años, 8 meses
Puntos: 7
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

comprueba que todos los GETS y POSTS se pasen pro mysql_real_escape_string

pero mejor pon el código
  #4 (permalink)  
Antiguo 11/04/2011, 13:59
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Estan con mysql_real_scape_tring fijate , Pero logro entrar el hacker no esta sirviendo esa tecnica

Muestro codigo :

Código PHP:


ob_start
();

 

//conexion
include("../config/config_conexion.php");
$link conectar($host,$user,$pass,$db);

$match "SELECT id FROM ac_admin where username = '".mysql_real_escape_string($_POST['username'])."' and password = '".mysql_real_escape_string($_POST['password'])."';";


$qry mysql_query($match
or die (
"Could not match data because ".mysql_error()); 
$num_rows mysql_num_rows($qry); 

if (
$num_rows <= 0) { 
echo 
"Lo siento hay no tienes usuario o el password: <strong>".mysql_real_escape_string($_POST['username'])."</strong><br>"
echo 
"<a href='javascript:history.go(-1)'>Volver</a>"
exit;

} else { 

setcookie("loggedin_moderador""".mysql_real_escape_string($_POST['username']).""time() + 7200"/"".dominio.es");




echo 
"Welcome: <strong>".mysql_real_escape_string($_POST['username'])."</strong><br>"
echo 
"Continue to the <a href=estas_logeado.php>ir a estas logeado.php</a> section."
}





ob_end_flush(); 
  #5 (permalink)  
Antiguo 11/04/2011, 17:07
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

¿y como sabes que el ataque afecta solo al script que muestras y no a otros?
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #6 (permalink)  
Antiguo 11/04/2011, 22:56
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

A que te refieres, a que un usuario se llama TRUE? eso lo sabria perfectamente.. ¿es que es PRO el hacker ?
  #7 (permalink)  
Antiguo 11/04/2011, 23:01
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

pues, es obvio que si usas intensivamente la función mysql_real_scape_string() es probable que nadie introduzca secuencias malignas...

sin embargo eso no excusa a ningún usuario de elegir su nombre como TRUE!!

¿porque piensas que eso es un ataque de un hacker?

es mas, cualquier persona es libre de usar array, true, false, null, exec, o lo que se te imagine como nombre de usuario... a menos que tengas restricciones en tu sistema, que lo dudo...

creo que deberías dejar esa paranoia e ir a dormir un poco...
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #8 (permalink)  
Antiguo 12/04/2011, 00:53
Avatar de s00rk  
Fecha de Ingreso: octubre-2010
Ubicación: Mexico
Mensajes: 238
Antigüedad: 14 años, 1 mes
Puntos: 48
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Cita:
Iniciado por pateketrueke Ver Mensaje
pues, es obvio que si usas intensivamente la función mysql_real_scape_string() es probable que nadie introduzca secuencias malignas...

sin embargo eso no excusa a ningún usuario de elegir su nombre como TRUE!!

¿porque piensas que eso es un ataque de un hacker?

es mas, cualquier persona es libre de usar array, true, false, null, exec, o lo que se te imagine como nombre de usuario... a menos que tengas restricciones en tu sistema, que lo dudo...

creo que deberías dejar esa paranoia e ir a dormir un poco...
Exactamente ahi jamas hace restriccion a palabras jeje, mientras no lo hagas siempre sera posible hacerlo.
  #9 (permalink)  
Antiguo 12/04/2011, 07:34
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Cita:
¿porque piensas que eso es un ataque de un hacker?
POr que nadie se lla TRUE , te dije muy bien y muy claro y muy en tu idioma que si un usuario se llama TRUE lo sabria perfectamente !!

nadie se a puesto :
Cita:
array, true, false, null, exec,
Por que soy yo quien registro estos usuarios,

Y dime hay solucion contra estos ataques o tengo ques ser jodido sin remedio?
  #10 (permalink)  
Antiguo 12/04/2011, 09:00
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

por favor, lee con cuidado lo que te digo... ¡eso no es un ataque precisamente!

y lo digo porque estas haciendo uso de funciones para proteger las variables de posibles ataques, así que si lo piensas, es posible que alguien acceda al script de inserción de registros que administras... pues al parecer no tienes ningún control de acceso, y es por eso que te sucede lo que nos vienes diciendo...
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #11 (permalink)  
Antiguo 12/04/2011, 19:29
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Como puedo evitarlo ayudame no me dejes asi =( T_T.....
  #12 (permalink)  
Antiguo 12/04/2011, 19:56
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

¿entonces no tienes ningún tipo control de acceso tu sistema?
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #13 (permalink)  
Antiguo 13/04/2011, 02:15
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

pero si no se ningun otro todo el codigo que puse es todo lo que se , no tenog ni idea por algo te dije ... T_T
  #14 (permalink)  
Antiguo 13/04/2011, 11:29
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

pues eso, de todos los términos que se han planteado aquí debes hacer una investigación...

hay buenos temas en el foro, aportes, etc...
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #15 (permalink)  
Antiguo 13/04/2011, 12:15
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

bueno gracias por el consejo veo que dependo de mi otra vez. por lo menos me ubieras dicho alguna pista de que soluciones se usan.
  #16 (permalink)  
Antiguo 13/04/2011, 12:38
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Cita:
Iniciado por yooom Ver Mensaje
bueno gracias por el consejo veo que dependo de mi otra vez. por lo menos me ubieras dicho alguna pista de que soluciones se usan.
¿y no te dije nada?

Cita:
Iniciado por pateketrueke Ver Mensaje
[...] pues al parecer no tienes ningún control de acceso, y es por eso que te sucede lo que nos vienes diciendo...
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #17 (permalink)  
Antiguo 13/04/2011, 17:15
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Cita:
pues al parecer no tienes ningún control de acceso, y es por eso que te sucede lo que nos vienes diciendo...

Pues eso nada, no hay que ser un genio para saber que me falta tu --- " ALGUN CONTROL DE ACCESO"

-.-!
  #18 (permalink)  
Antiguo 13/04/2011, 17:25
 
Fecha de Ingreso: septiembre-2009
Mensajes: 230
Antigüedad: 15 años, 2 meses
Puntos: 2
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Lo que el queire decir, que antes de acceder al script, que compruebes que el usuario esta logeado, o que por lo menos es un usuario y no una insercion alterna o externa.
  #19 (permalink)  
Antiguo 13/04/2011, 17:40
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

pero si lo que tengo es eso que dices ¿ Por que no es suficiente? ? .. =( "_"
  #20 (permalink)  
Antiguo 13/04/2011, 17:49
 
Fecha de Ingreso: enero-2011
Ubicación: DF
Mensajes: 898
Antigüedad: 13 años, 10 meses
Puntos: 155
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

mmm es que son varias opciones , no nada mas una inyeccion sql ¿como se sabe si no se accedio a un root de tu servidor?, ¿seguro no es un dato insertado de prueba?esos datos existen antes o despues de haber implementado el mysql_real_scape? ¿nadie mas conoce la contraseña del server?
  #21 (permalink)  
Antiguo 13/04/2011, 19:39
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

nooo como dices eso solo yo pero dime que hacer y no me digas mas historia que me pueden destruir todo el trabajo.
  #22 (permalink)  
Antiguo 13/04/2011, 20:49
Avatar de _ssx  
Fecha de Ingreso: mayo-2003
Ubicación: mX
Mensajes: 683
Antigüedad: 21 años, 7 meses
Puntos: 60
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Tienes graves problemas de seguridad.

1.- JAMAS hagas una comparación de usuario y contraseña con un AND en una consulta SQL.

En ves de eso, verifica primero el usuario solamente y si existe ahora si procede a verificar su contraseña..

2.- Tu problema radica en que guardas la sessión en una cookie que facilmente se puede obtener con un cookie catcher y hacerte un delicioso XSS

Ejemplo.

http://www.youtube.com/watch?v=WZCXIrW0xZ0
__________________
Escribe tu código de forma que refleje, y saque a relucir,lo mejor de tu carácter personal
www.oscararzola.com/blog
Principios de un programador
  #23 (permalink)  
Antiguo 14/04/2011, 00:19
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Muchas gracias amigo la idea de dividir la consulta es muy buena.
  #24 (permalink)  
Antiguo 14/04/2011, 04:03
 
Fecha de Ingreso: agosto-2010
Mensajes: 81
Antigüedad: 14 años, 4 meses
Puntos: 3
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

No sé contestarte, pero de todas formas, eres un desagradecido. Ten un poco de educación y habla con respeto, sin esa prepotencia. Te irá mejor.

Un saludo.
  #25 (permalink)  
Antiguo 14/04/2011, 04:50
 
Fecha de Ingreso: octubre-2004
Ubicación: Barcelona
Mensajes: 195
Antigüedad: 20 años, 2 meses
Puntos: 7
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Cita:
Iniciado por yooom Ver Mensaje
Código PHP:

if ($num_rows <= 0) { 
echo 
"Lo siento hay no tienes usuario o el password: <strong>".mysql_real_escape_string($_POST['username'])."</strong><br>"
echo 
"<a href='javascript:history.go(-1)'>Volver</a>"
exit;

} else { 

setcookie("loggedin_moderador""".mysql_real_escape_string($_POST['username']).""time() + 7200"/"".dominio.es");


Aparte de lo que te han dicho de no usar setcookie, yo también creo que va por aquí el problema, tienes un problema de concepto en el fragmento de código anterior. Verifica siempre que el resultado que necesita ser seguro sea cierto, no que sea el else, ya que en ese else podría entrar un resultado nulo o indefinido en algún caso como en un fallo en la conexión con la base de datos, o en un fallo inesperado.

Por ejemplo, podrías poner:
Código PHP:
if ($num_rows === 1) { 
// código de entrada correcta

} else { 
// código de entrada errónea


  #26 (permalink)  
Antiguo 14/04/2011, 05:10
(Desactivado)
 
Fecha de Ingreso: enero-2011
Mensajes: 293
Antigüedad: 13 años, 11 meses
Puntos: 4
Respuesta: Problema con hacker escapade mysql_real_scape_string usa de nombre - TRUE.

Que usar si no es setcookie , siempre se a usado ese setcookie(

Etiquetas: hacker, nombre
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:10.