mysqli_real_escape_string

Door Jean Cremers op 20-08-2021 18:31

4.154 views

Is dit safe? Ik dacht van wel maar de site is laatst gehakt, dus even voor de zekerheid.
Bedankt,
Jean


$db = opendatabase();
$time = $_POST['time'];
$name = strip_tags(mysqli_real_escape_string($db, $_POST['name']));
$msg = strip_tags(mysqli_real_escape_string($db, $_POST['msg']));
$sql = "INSERT INTO dbname (time, name, msg) VALUES('$time', '$name', '$msg')";
mysqli_query($db, $sql);

Jean Cremers

21-08-2021 18:55

ik had de hoster al gemaild ja, private window wil ook niet. :(

Jean Cremers

23-08-2021 16:01

ik ben bang dat ik naar die logs kan fluiten :( Ik had neostrada vrijdag al een mail gestuurd over de invalid security token, ik heb nog steeds niks gehoord. Wel inmiddels de dns veranderd omdat ik over wilde, en nu kan ik niet eens meer cpanel.jcremers.com bereiken. Wat een afgang is dat geworden, blij dat ik daar wel weg ben.

- Ariën -

23-08-2021 16:43

Logisch dat die link naar je cpanel niet meer werkt. Hij verwijst ook niet meer naar je hosting.

Jean Cremers

23-08-2021 16:45 gewijzigd op 23-08-2021 16:47

:)
Benieuwd of ze uberhaupt nog logs hebben, ik heb het domein en hosting daar opgezegd.

Ik heb me aangemeld hier https://www.openbugbounty.org/bugbounty/

Jean Cremers

27-08-2021 12:49

Hoi,

Ik heb me aangemeld daaro, het was nogal een rommelige bedoening, de eerste mail die ik kreeg was van iemand die tenslotte tegen me zei niet bij de club aangesloten te zijn. Ook zat een tabel zo vol met testwaardes dat het script het vertikte, prima als je wil testen maar laat dan wel even wat horen. Ik kan het niet direct aanraden.

Maar wel nog in gesprek met iemand hierover


$bots = array('bot', 'crawler', 'spider', 'The Knowledge AI', 'Datanyze', 'python');
$agent = isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : NULL;
if ($agent)
foreach ($bots as $a)
if (stristr($agent, $a))
exit;

Hij zegt, en heeft daar ook een video van laten zien, dat hij met de 'burp proxy' tool een kwetsbaarheid vaststelt, hij kan sleep() commando's in de agent zetten, ik laat het hier niet zien vanwege voor de hand liggende reden, maar hij stelt dus voor een functie zoals deze te gebruiken.


function check_agent($var)
{
  $var=preg_replace("/[^A-Za-z0-9\., _\n]/i", "", $var);
  return $var;
}

Wat vinden jullie hiervan?

Rob Doemaarwat

27-08-2021 21:46

Je kunt alles in de User-Agent zetten. Het zou geen kwaad moeten kunnen als je er goed mee om gaat.

Wat is het probleem als er een "sleep()" commando in de User-Agent staat? Doe je iets "geks" hiermee waardoor deze waarde uiteindelijk in PHP/JavaScript/shell uitgevoerd wordt?

Jean Cremers

28-08-2021 08:46

Ik ben geen beveiligingsonderzoeker. Dat is juist het probleem met een dergelijke site, ze kunnen je vanalles vertellen. Daarom vraag ik een second opinion.

Hij kwam met een vreemd voorbeeld van die burp tool, waar sql bijzit, ziet ook niet echt zinnig uit:

User-Agent: '+(select*from(select(sleep(10)))x)+'
Referer: '+(select*from(select(sleep(10)))x)+'

Onbekende gebruiker

28-08-2021 11:59

Dat is voor als je de HTTP REFERER en/of UA string communiceert met een database, bijvoorbeeld voor logging of statistieken, en als je geen prepared statements gebruikt en je escape't zelf niet goed (kortom: je weet niet goed wat je doet), dan kan zoiets gebruikt worden voor een (D)DoS-aanval.

Jean Cremers

28-08-2021 12:05

Ok!
De hackers hadden mn hele public_html leeggehaald, dat wil volgens mij niet met ddos.
Ze kennen je code niet heh, ze testen alleen maar, user agent noch referer wordt gebruikt in queries, alleen voor botjes weren zoals boven.

Reageren

Inloggen om te reageren