Zauważyłem nowego uczestnika ukrywającego tożsamość pod kryptonimem hfm.pl. Kiedy okazało się, że ma już na koncie ponad 20 wpisów, zapragnąłem jakiś obejrzeć. Po kliknięciu w stosownym miejscu okazało się, że jestem znanym szpiegiem japońskim, o czym zaświadczył następujący komunikat (był pieknie pokolorowany ale nie chce mi się odtwarzac oryginalnych barw):

---

- SECURITY ALERT -

---

The Board Security System has detected, that you wanted to bring bad
Code to this Forum or you have tried to exploit something here or maybe
another attack linke this.

This attempt was blocked and we logged all information about this.


If you see this message after including a new MOD to your Forum or if
you have reached this site over a normal Forum Link, please contact
the Board Administrator to fix this Problem.

---

CBACK CrackerTracker v4

No tak, redakcja HFM.pl to największy szpieg i na dodatek ukrywa się pod nic nie mówiącym pseudonimem.

HFM.pl napisał: No tak, redakcja HFM.pl to największy szpieg i na dodatek ukrywa się pod nic nie mówiącym pseudonimem.

Szpiegiem to jestem ja, a pseudonim mówi mi wiele. I podtrzymuje wszystko co napisałem:
1. Komunikat dalej się ukazuje.
2. Autor tekstu ukrywa swoją tożsamość.
Choć jeżeli teksty pisane są zbiorowo przez członków Redakcji, to podpisywanie się hfm.pl ma uzasadnienie (coś jak Bourbaki ale to była grupa że ho ho albo i bardziej).

Pozdrawiam

Adam Szulc napisał: 1. Komunikat dalej się ukazuje.
2. Autor tekstu ukrywa swoją tożsamość.

Adamie, engine forum jest nie wiedzieć czemu uczulony na parametr zawierający sufix ".pl". Załóż sobie użytkownika Adam.pl i też będziesz "nieszpiegowalny".
Oczywiście nie jest to żadną poważną przeszkodą przed wyświetleniem sobie wszystkich postów użyszkodnika hfm.pl. Wystarczy w pasku adresu .pl zastąpić gwiazdką w odpowiednim miejscu tak jak poniżej:
www.hi-fi.com.pl/phpbb_2_0_6/sea ... uthor=HFM*
Pozdrawiam wszystkich serdecznie a Admina jeszcze serdeczniej.
EDIT: Gwiazdka nie załapała się do automatycznego linka ale wiadomo o co chodzi (mam nadzieję?).

Wiedziec, czemu

Adres aktywny przez php dziala na zasadzie parametrow, tak iz sklada sie z dwoch czesci. Np.

www.hi-fi.com.pl/PHPBB_2_0_6/new_version/viewtopic.php?f=19&t=15021

Czerwonym zaznaczylemadres strony. Potem pojawia sie zak zapytania a po nim parametry przekazywane do serwera apache (zielone). Parametry oddzielane sa znaczkami "&".

Poniewaz niektore z parametrow (wlasciwie ich wiekszosc) sluza do konstrukcji zapytan SQL (baza danych), to mozliwe jest takie wybranie np. nazwy uzytkownika, aby namieszac w tej bazie.

Np. polecenie "drop_table" niszczy aktualna tabele w bazie danych.

Nie podam dokladnej skladni, ale mozna tak wdziecznie zawinac to polecenie, ze przekazane do bazy danych zapytanie np. o autora postu (&author="") bedzie przez baze danych zrozumiane jako polecenie zniszczenia calej bazy postow.

Zeby temu zapobiec, rozwinieto system parsingu, ktory pozbywa sie takich ewidentnych hackerskich prob. System, ktory naturalnie nie dziala w stu procentach a w dodatku jest glupi... jesli gdzies jest ".pl", lub ".com" lub cos, co wyglada jak rozszerzenie zwyklego standardowego adresu www, to ten system parsingu moze dojsc do wniosku, iz ktos probuje przedwczesnie zakonczyc zapytanie. Przyklad:

www.hi-fi.com.pl/PHPBB_2_0_6/new_version/viewtopic.php?f=19.com#&t=15021

Kolorem czerwonym zaznaczylem, co serwer odczyta poprawnie, a czego nie (ale to moze nie dzialac, nie mam ochoty na szukanie gowniarskich nibyhackerskich polecen, ktore rzeczywiscie by dzialaly ). Dlatego zapytanie to jest oznaczane jako niebezpieczne i pojawia sie taki wlasnie komunikat.

System glupi, bo nie powinien dopuszczac takich nickow, ktore sprawiaja problemy, a jeszcze lepiej - nicki te zapisywac w bazie danych np. zastepujac znaki ". + $ & ?" innymi, niegroznymi znakami i wyswietlajac je poprawnie dopiero na stronce, po pre-parsingu przez apache. No coz - nikt nie jest doskonaly.

pozdrawiam.

widzę, że kolega obeznany w temacie, może redakcja jakiś etat da aby zrobić porządek z tym forum? Redakcjo?

Eeee, etat to nie... za duzo mam wlasnego szajzu do obrobienia. Ale jesli jakos moge sluzyc porada, to chetnie pomoge.

generalnie jednak nic bym z tym nie robil zabronil znakow specjalnych w nickach i tyle. Te, co juz sa - pozmieniac. Inaczej to gra niewarta swieczki.

Poza tym wyjasnienie bylo troche na wyrost. Nie znam moda, ktory jest odpowiedzialny za te komunikaty. Nie bylem tez w stanie uswiadczyc podobnego bledu (chociaz sie staralem) - takze to raczej taki teoretyczny komentarz, w razie jesli kogos interesuje schemat, przyczyna.

To troche tak, jak gdybym mowil, ze czyjs zestaw audio jest do pupy i radzil, co ulepszac, a nie slyszalbym go... w 80-90% bede mial racje, ale moze sie tez okazac, ze pomylka.

Pozdrawiam.