Validaciòn POST

abigor66 · #1 (**permalink**) 12/05/2011, 11:01

Muy buenos dìas Foreros, me he topado con un fragmento de còdigo para validacòn de usuarios:

Código PHP:

Ver original$password=$_POST['password'];
$query = mysql_query("SELECT username,password FROM users WHERE username = '$username' and estado<>'0'") or die(mysql_error());
$data = mysql_fetch_array($query);
if($data['password'] != $password) {
//echo "<font color='#FF0000'>la contraseña <b>$password</b> es incorrecta</font>";
}
else  {echo 'estas dentro';}

cuando lo vì, creì que era fàcil burlar la validaciòn conociendo el nombre de usuario, sin embargo, cuando coloco en el campo de password:

Código SQL:

Ver original1 AND 1==2

me muestra el mensaje de que la contraseña es incorrecta, a pesar que el usuario es correcto.

alguien sabe porque no valida la peticiòn, ya que en la condiciòn del password quedarìa:

Código SQL:

Ver original$data['password'] != 1 AND 1==2

lo cual es falso y deberìa entrar al sistema, no?

Gracias por su tiempo.

RollerSky · #2 (**permalink**) 12/05/2011, 11:09

Hola,

bueno primero que todo a lo que se entiende...
1 AND 1==2 : esto siempre va dar falso, porque 1 no es "Igual igual" a 2.

tambien mira como estas poniendo "==" en mysql se usa un solo igual "=" a diferencia de php que es para comparacion y el igual simple para asignacion!

saludos!

leo_nqn · #3 (**permalink**) 12/05/2011, 11:13

yo la verdad no entiendo bien cual es tu duda... en el 1er codigo que pusiste... pareciera estar todo bien.. faltaria la parte de recibir el usuario desde un input... pero seguramente lo haces.. se valida usuario y contraseña.. ahora con los 2 cuadros de codigo que estan mas abajo ya me perdi.. no entiendo que queres hacer o que te anda mal o que duda tenes..

Nexus10 · #4 (**permalink**) 12/05/2011, 11:35

Cita:

Iniciado por leo_nqn

yo la verdad no entiendo bien cual es tu duda... en el 1er codigo que pusiste... pareciera estar todo bien.. faltaria la parte de recibir el usuario desde un input... pero seguramente lo haces.. se valida usuario y contraseña.. ahora con los 2 cuadros de codigo que estan mas abajo ya me perdi.. no entiendo que queres hacer o que te anda mal o que duda tenes..

Está intentando hackear el sistema.

Lo he probado, y poniendo directamente la expresión 1 AND 1==2 en el if a mi sí me funciona. Puede que la consulta elimine de alguna forma los espacios en blanco y por eso no funciona, no se.

EDITO: No, no funciona. Lo he probado de otra forma y falla. Yo creo que es porque no lo toma como una expresión lógica sino como una cadena. La variable $password la considera como una cadena de caracteres.

leo_nqn · #5 (**permalink**) 12/05/2011, 11:48

Código:

if($data['password'] != $password) {
//echo "<font color='#FF0000'>la contraseña <b>$password</b> es incorrecta</font>";
}
else  {echo 'estas dentro';}

o yo estoy entendiendo mal... o con este codigo.. si sabes el usuario entras! no hace falta que inventes una pass.. o que pongas 1 AND 1==2... ojo capaz las musica que escucho me hace entender mal! jajaja pero pareciera que si sabes el USER entras al sistema con esto...

RollerSky · #6 (**permalink**) 12/05/2011, 11:56

efectivamente funciona, con solo saber el usuario...

ya lo he probado y entendido y funciona!....

verifica no sea que estes accediendo a un suario con estado = '0' :P

abigor66 · #7 (**permalink**) 12/05/2011, 13:04

Gracias por sus respuestas, de momento creo que está pasando lo que dice @Nexus10 pero agradecería a @RollerSky si publica el código que está usando para validar la consulta.

muchas gracias.

s00rk · #8 (**permalink**) 12/05/2011, 18:40

Con ese codigo que tiene y si se como funciona su Base de Datos o la tabla mejor dicho(columnas que contiene) ahi puedo meter una sql inyeccion y crearme una cuenta y ya poder ingresar jeje

abigor66 · #9 (**permalink**) 13/05/2011, 15:20

Hola @s00rk he intentado hacer eso pero no logro ingresar ni actualizar datos, me podrías ayudar con eso?

les comento a los lectores, este es un fragmento de código de una aplicación web que debo sustentar en la U, la aplicación pertenece a una tesis y parte de lo que pienso exponer es sobre la seguridad que aporta, soy muy nuevo con la inyección sql, pero por lo que he leído me parece que es relativamente sencillo burlar el sistema, entonces @s00rk respondiendo a lo que dices, tengo los archivos fuente y base de datos del sistema, y lo estoy corriendo de manera local.

Gracias por su tiempo y espero me puedan orientar un poco más.

PD: le desactive magic_quotes para que sea más fácil la inyección, de momento solo logro conocer el nombre de una de las columnas de la tabla y el nombre de la base de datos.

abigor66 · #10 (**permalink**) 13/05/2011, 15:27

Cita:

Iniciado por leo_nqn

Código:

if($data['password'] != $password) {
//echo "<font color='#FF0000'>la contraseña <b>$password</b> es incorrecta</font>";
}
else  {echo 'estas dentro';}

o yo estoy entendiendo mal... o con este codigo.. si sabes el usuario entras! no hace falta que inventes una pass.. o que pongas 1 AND 1==2... ojo capaz las musica que escucho me hace entender mal! jajaja pero pareciera que si sabes el USER entras al sistema con esto...

@leo_nqn el fragmento que pones, funciona con las instrucciones que están más arriba, por lo que no solo es necesario saber el user, sino que también el password.

Código PHP:

Ver original$password // se ingresa a través del formulario
$data['password'] // viene de la consulta sobre el usuario

leo_nqn · #11 (**permalink**) 13/05/2011, 15:35

Si si dije cualquier cosa... jajaja sorry!