[linux] Vyplnanie osobneho profilu na strankach Lugconu
Jan Sarenik
jasan na x31.com
Pátek Září 16 18:10:48 CEST 2005
Ahojte!
> este odporucam lepsie ochranit meno a heslo do databazy, ktore je
> pristupne aj z webu (neskusal som ci funguje) -- detaily posielam
> sukromne. A este, ked som zadal ako login name apostrof, vyhodilo to
> nejaku SQL chybu, takze mozno by sa dal spravit aj SQL injection utok...
Dakujem Matusovi na upozornenie na chybu.
Momentalne uz zopakovanie chyby nieje mozne.
Nasleduje popis problemu a riesenia:
Za davnych cias vytvoreny registracny system lugconov pouziva databazu
PostgreSQL, pricom samozrejme potrebuje vediet meno a heslo do databazy.
Tieto boli ulozene v subore config.inc, ktory bol verejne pristupny pod
adresou http://www.sklug.sk/lugcon-reg/config.inc co vobec nieje dobre.
Avsak povodny autor mal pojem o bezpecnosti. Dany subor vyzera priblizne
nasledovne:
----- config.inc -----
<?
if (eregi("config.inc",$PHP_SELF)) {
die("F.J.");
} else {
#
# Konfiguracia webovskeho rozhrania.
#
$dbname = "meno_databazy";
$dbuser = "pouzivatelske_meno";
$dbpass = "heslo_databazy";
$realm = "Databaza LUGCON";
#
# Koniec konfiguracie webovskeho rozhrania.
#
$version = "0.2";
}
?>
----- config.inc -----
Takze jediny problem bol, ze tento subor sa sam osebe neinterpretoval
ako PHP. To som zabezpecil v konfiguracii Apacha nasledovnym sposobom:
<Location /lugcon-reg>
ForceType application/x-httpd-php
</Location>
Problem, zda sa, je vyrieseny.
Prosim bezpecnostnych koumakov aby mi k tomu nieco povedali.
Prajem Vam pekny bezpecny den
S pozdravom
JaSan.
Další informace o konferenci linux