[SOLUCIONADO] Problema De Seguridad

Jose789 · #1 (**permalink**) 05/03/2014, 05:11

Tengo esto creado para que los usuarios puedan cambiar su clave en cualquier momento, hasta el día de ayer, me cambiaron la contraseña tanto ami como a otros usuarios y entraron a la cuenta... Si alguien me puede ayudar.

Código PHP:

Ver originalif(isset($_POST['save3'])) {
        $username = $_SESSION['usuario'];
        $password = FilterText(md5($_POST['password'], $username));
        $password2 = FilterText(md5($_POST['password'], $username));
        
        if(empty($password))
        {
            $result = "No puedes dejar el campo de la contrase&ntilde;a vacio.";
        }
        else 
        {
        $sql = mysql_query("SELECT id FROM users WHERE username = '".$username."' AND password = '".$password."' OR username = '".$username."' AND password = '".$password2."' LIMIT 1") or die(mysql_error());
            if(mysql_num_rows($sql) < 1)
            {
                $result = "Tu contrase&ntilde;a actual no coincide.";
            } else {
             if($_POST['new_password'] != $_POST['rep_new_password']) {
             $result = "No coinciden las nuevas contrase&ntilde;as.";
             }
             else if(empty($_POST['new_password']))
            {
            $result = "No puedes dejar el campo nueva password vacio.";
            }
             else 
             {
            $new_password = FilterText($_POST["rep_new_password"]);
            $new_password = md5($new_password);
             $sql = mysql_query("UPDATE users SET password='".$new_password."' WHERE username='".$_SESSION['usuario']."'");
             if($sql) {
             $result = "Cambios guardados correctamente.";
             } else { 
             $result = "Error: No se pudieron guardar los cambios.";
             }
            
             }
            }
        
        }
    
    }

fbedia · #2 (**permalink**) 05/03/2014, 05:24

Deberías filtrar todos los datos recibidos por $_POST

Te recomiendo algo como lo siguiente:

Código PHP:

Ver original//strip_tags para retirar todas las etiquetas HTML y PHP de un string:
$password = strip_tags($_POST['password']);
//pasarle tambien un real_scape_string antes de usar la variable en la consulta sql
$password = mysqli_real_escape_string($password);

Adicionalmente puedes controlar la longitud de la nueva password...

Código PHP:

Ver original//guardamos la longitud de la password
$long_password = strlen($_POST["password"]);
//comprobamos que la logitud este entre 4 caracteres y 20 por ejemplo
if(($long_password<4)||($long_password>20)) {
 
//error... password muy corta o muy larga
 
} else {
 
//logitud ok... puedes continuar el codigo...
 
}

Con lo anterior deberia ser suficiente para evitar xss, sqli....etc...

Adicionalmetne... revisa que el BUG no venga por otro lado: cambia las contraseñas de la BD.... SSH.... analiza el servidor con algun antirrotkit por si tienes algojada alguna shell...etc..

Saludos.

Heli0s · #3 (**permalink**) 05/03/2014, 05:29

Dependiendo de lo que haga Filter_Text() podría tener buena seguridad o no, de todas maneras un bug que veo es que en la sentencia SQL Update estas usando el valor de $_SESSION['usuario'] en vez de usar el ID que conseguiste varias lineas arriba haciendo las comprobaciones necesarias.

Un saludo

Jose789 · #4 (**permalink**) 05/03/2014, 05:34

Cita:

Iniciado por fbedia

Deberías filtrar todos los datos recibidos por $_POST

Te recomiendo algo como lo siguiente:

Código PHP:

Ver original//strip_tags para retirar todas las etiquetas HTML y PHP de un string:
$password = strip_tags($_POST['password']);
//pasarle tambien un real_scape_string antes de usar la variable en la consulta sql
$password = mysqli_real_escape_string($password);

Adicionalmente puedes controlar la longitud de la nueva password...

Código PHP:

Ver original//guardamos la longitud de la password
$long_password = strlen($_POST["password"]);
//comprobamos que la logitud este entre 4 caracteres y 20 por ejemplo
if(($long_password<4)||($long_password>20)) {
 
//error... password muy corta o muy larga
 
} else {
 
//logitud ok... puedes continuar el codigo...
 
}

Con lo anterior deberia ser suficiente para evitar xss, sqli....etc...

Adicionalmetne... revisa que el BUG no venga por otro lado: cambia las contraseñas de la BD.... SSH.... analiza el servidor con algun antirrotkit por si tienes algojada alguna shell...etc..

Saludos.

La web la tengo subida a un Hosting, Acabo de buscar si tengo algún virus con "Virus scanner" y no hay nada...

Los Post como puedes ver los filtro mediante FilterText

Código PHP:

Ver originalfunction FilterText($str, $advanced=false) {
    if($advanced == true){ return mysql_real_escape_string($str); }
    $str = mysql_real_escape_string(htmlspecialchars($str));
    return $str;
}

El mismo que hizo esto me dejo un comunicado y me dijo que uso: dork attack

Jose789 · #5 (**permalink**) 05/03/2014, 05:47

Cita:

Iniciado por Heli0s

Dependiendo de lo que haga Filter_Text() podría tener buena seguridad o no, de todas maneras un bug que veo es que en la sentencia SQL Update estas usando el valor de $_SESSION['usuario'] en vez de usar el ID que conseguiste varias lineas arriba haciendo las comprobaciones necesarias.
Un saludo

Espera que yo también me entienda de aqui :

Código PHP:

Ver original$sql = mysql_query("SELECT id FROM users WHERE username = '".$username."' AND password = '".$password."' OR username = '".$username."' AND password = '".$password2."' LIMIT 1") or die(mysql_error());

Sacar el Id correspondiente.

Y aquí actualizar la nueva password del id mas arrojado mas arriba.

Código MySQL:

Ver original$sql = mysql_query("UPDATE users SET password='".$new_password."' WHERE id='".$id."'");

Heli0s · #6 (**permalink**) 05/03/2014, 05:50

Exacto a eso me refería, pero como te han dicho el problema podría estar en otro lado, en otros scripts, o fuera de lo que es PHP (aunque siendo un servidor compartido esto lo veo raro), lo más seguro es que sea a nivel de PHP, pero deberías revisar todos los scripts, y a tu Text_Filter le añadiría htmlentities o strip_tags.

Un saludo

Jose789 · #7 (**permalink**) 05/03/2014, 05:55

En ajustes esta ese y el único UPDATE y el solo hizo cambiar la pass al usuario que quisiera No creo que el problema venga de otro lado.

Heli0s · #8 (**permalink**) 05/03/2014, 06:06

Entonces lo más probable es que fuese lo que te he comentado, ya que si el usuario que hizo el hackeo es capaz de cambiar el valor de $_SESSION['usuario'] podría elegir a que usuario le cambiaba el pass, ahora no hay posibilidad a elección, se cambia al usuario que le corresponda la contraseña introducida.

A priori no le veo más vulnerabilidades a ese script.

Un saludo

Jose789 · #9 (**permalink**) 05/03/2014, 08:43

Vale muchas gracias a todos hice todo lo que me dijeron... :)