Как найти уязвимость в самописном велосипеде?

Question

[HellWalk]

В свободное от основной работы (SEO-оптимизатор) время изучаю бек-энд и пилю самописный велосипед: walkweb.ru/cms (пока исключительно в учебных целях, ни на что серьезное этот самокат не претендует)

Размещал ссылки на php-форумах, и сегодня обнаружил, что один посетитель смог:
1) разместить посты от имени пользователя, за которого невозможно зайти (не буду углубляться в детали почему);
2) разместить посты таким образом, чтобы его аккаунт не получал опыт и золото, хотя в коде этот функционал находится на соседних строчках (добавление поста -> проверка успешного ответа -> добавление золота и опыта аккаунту).

Складывается ощущение, что был получен прямой доступ к MySQL бд, но: 1) как? 2) почему бы просто не удалить бд?

Что в плане безопасности сделано на сайте:
1) экранированы знаки < >
2) все запросы к бд идут через prepare

Было бы здорово, если кто-то сможет сделать аналогичный "финт ушами" и расскажет как он это сделал.

Comments

[sim3x]

Зачем кому-то бесплатно копаться в твоем коде?

[HellWalk]

sim3x: кто-то же бесплатно не поленился взломать сайт

[Максим Тимофеев]

HellWalk: видимо бот, стандартными методами, через стандартные дыры.

[HellWalk]

Максим Тимофеев: не могли бы дать название подобных ботов?

[Максим Тимофеев]

HellWalk: Вот так просто, не видя логов и т.д. По Вашим несвязным 3 строкам описания, я возьму и назову Вам название бота, который к Вам зашел, может еще имя создателя? Я бы с радостью, но мой магический шар, по пятницам не занимается предсказаниями.

Answer 1

[Юрий Чудновский]

Складывается ощущение, что был получен прямой доступ к MySQL бд, но: 1) как?

Очевидно, где-то у вас возможна sql injection.

Comments

[HellWalk]

Я знаю про sql инъекции, и для защиты от них пишу все запросы к бд через prepare
Какие в этом случае могут быть инъекции? Или prepare не защищает от них?

[Юрий Чудновский]

HellWalk: Каким образом prepare может противодействать инъекции?

[Александр]

HellWalk: не должен сервер так отвечать - walkweb.ru/cms/post.php?p=-1%20UNION%20SELECT%20pa...

[HellWalk]

Юрий Чудновский: php.net/manual/ru/pdo.prepare.php
Цитата: "Вызов PDO::prepare() и PDOStatement::execute() для запросов, которые будут запускаться многократно с различными параметрами, повышает производительность приложения, так как позволяет драйверу кэшировать на клиенте и/или сервере план выполнения запроса и метаданные, а также помогает избежать SQL иньекций, так как нет необходимости экранировать передаваемые параметры."

[Юрий Чудновский]

HellWalk: Если бы вы были чуть внимательней, то прочитали бы в каментах следующее:
Prepared statements only project you from SQL injection IF you use the bindParam or bindValue option.

[HellWalk]

Александр: Спасибо за конкретику, правильно ли я понимаю, что надо копать в эту сторону: https://habrahabr.ru/post/148701/ ?

[HellWalk]

Юрий Чудновский: использую следующую форму запросов:

$queryString = 'INSERT INTO NameTable '.
'(Name1, Name2, Name3) '.
'VALUES (?, ?, ?)';
if ($stmt = $this->DB->prepare($queryString)) {
$stmt->bind_param(
"sss",
$Name1,
$Name2,
$Name3
);
$stmt->execute();

Когда только начинал делать свой велосипед прочитал множество статей на тему защиты от инъекций, и данный способ был описан как наилучший. Но, мне как новичку сложно их сравнивать - на одном сайте может быть написано одно, на другом - другое.

Answer 2

[Uno]

Нет нет и нет.
Фильтровать нужно все, абсолютно все данные, которые могут прийти от пользователя. Представьте, что посетители Вашего сайта - исключительно хацкеры. Пишите код исключительно с этим условием.

Answer 3

[Олег]

Смотрите логи запросов

Comments

[HellWalk]

На моей впс-ке стоят только общие логи Munin + базовые логи (как понимаю) апача, но там только ошибки.
Нужно поставить какой-то дополнительный софт для логов? И что отслеживать - запросы к MySQL или что-то еще?

Answer 4

[Евгений Бухарев]

1) разместить посты от имени пользователя, за которого невозможно зайти (не буду углубляться в детали почему);
Автор ид поле в форме обавления статьи вам не говорит о возможности вручную проставить ид автора?

Comments

[Евгений Бухарев]

А так беглым взглядом стандартных уязвимостей вроде как нет

[HellWalk]

> Автор ид поле в форме обавления статьи вам не говорит о возможности вручную проставить ид автора?
спасибо, закрыл эту дырку

[Евгений Бухарев]

HellWalk: Можете привести кусок кода где проверяете картинку в статьях?

[Евгений Бухарев]

HellWalk: Также поля для размера файла не кофильфо использовать :)

[HellWalk]

evgenybuckharev: поле для размера используется для того, чтобы проверять размер файла до загрузки. А в случае чего - внутри размер файла проверяется еще раз.

Код загрузки картинки выложу, но позже, сейчас надо отъехать.

Answer 5

[grisbi]

Из не критичных ошибок, у вас недостаточная фильтрация входящих данных, например:
http://walkweb.ru/cms/post.php?p[]
http://walkweb.ru/cms/profile.php?user[]
http://walkweb.ru/cms/profile.php?list[]
и так далее

Answer 6

[Евгений]

Смотри тут

Comments

[HellWalk]

спасибо!