TorrentTrader Classic sebezhetőség

Elég gáz hiba:

scrape.php?info_hash=%22union%20select%201,1,1,1,ip%20from%20users–%20%20%20

Faszt kell allandoan belekotni, erted a lenyeget nem?

Dj Senki: az speciel az un. XAM forras hibaja, .htaccess es orvosolhato. Bar ugy lehet orvosolni a legjobban ha fogod es letorlod a p*csaba

Anonymous, lol. Tényleg azt hiszed, hogy pl. ncore full saját source? Ők is csak átírták a tbdevet, mint a legtöbb tracker.

El kell hogy szomorítsalak, az ncore az full saját cucc. Képzeld, vannak még emberek, akik nem csak másolnak fröccsöntött szarokat, hanem saját kútfőből is képesek létrehozni dolgokat.

Muhaha, most sírjak, vagy röhögjek?

“Közel egy napba telt, amíg teljesen felfedte a scrape.php hiányosságait.”

Nem csodálom, ilyen kókányolt, rendezetlen összehányt kódban, mint a nyílt forráskódú Torrent Trackerek jó része…

“Ez abból állt, hogy végignézte a forráskódban, hogy hol van mysql művelet, és visszakövette, hogy melyik változót használják nem megfelelő biztonsággal.”

Egy tisztességesne megírt kódnál, ahol nem csak össze-vissza vannak hányva a dolgok ez nem tartana tovább 10-20 percnél. Hibajavítással.

“A probléma az, hogy a TorrentTrader nem szűri megfelelően az inputot, csupán a kérés hosszát nézi meg, hogy 40 karakteres-e.”

ISTENEM!!! Alapszabály: felhasználótól jövő adatokban _NEM_ bízunk. Másik, hogy input filtering nélkül semmit nem rakunk be SQL kérésbe. Ez a baj a PHP-vel, hogy könnyű összegányolni valami működőt, de jól már mindenki baszik megtanulni fejleszteni benne.

Nem merültem bele a TorrentTrader mélyébe, de néztem már pár Trackernek a forráskódját. Nagy részéből hiányzott a minimális tervszerűség, kód strukturálása, stb. Néhány általánosságban használt függvény ki van gyűjtve, de azt leszámítva minden egyéb egy-egy PHP fájlba belehányva.

De ezen nincs mit csidálkozni: ameddig a felhasználók 90%-ának fontosabb a csicsa, a 3000×5000 pixeles animált gifes avatar, mint a lényegi rész, addig nem kell csodálkozni, hogy a trackereket a “gyorsan összecsapom, csak működjön” elv alapján fejlesztik. És ilyenkor sokat lehet spórolni a tisztességes input filtering elhagyásával, ami viszont olyan, hogy nem szabad elhagyni.

Másik: aki nem használ valami adatbázis-absztrakciós réteget és szimplán mysql_* függvényeket hivogat, az sikeres ember nem lehet 🙂

Jah, XBTT: Az ránézésre kivételesen meg van írva normálisan (bár annyira nem értek C++-hoz, viszont amennyire igen, az alapján normálisan összerakott sw), de az viszont nem igaz, hogy nem tudott írni a fejlesztő egy minimális kommentet, hogy ne egy órányi kódolvasás után jöjjön rá az ember, hogy az adott osztály mit csinál pontosan. És persze a dokumentáció hiányáról se beszéljünk.

sanyika, nézd meg például a kérések oldalt. A tbdev sourcben nem működik ott az ékezetes karakterekre való keresés (űő) és mily meglepő ncoren se működik, ebből látszik, hogy full tbdev, csak lemagyarosított mindent és módosította a kódok kinézetét, hogy sajátnak tűnjön. Lehet, hogy az, aki a kódot csinálta nem is vallja be, de közben végig ott volt az eredeti source. Tény, hogy át van dolgozva az egész, de ez csak Q*va sok idő, energia na meg némi tapasztalat kell hozzá és bárki tudja úgy módosítani a tbdev-et, hogy saját sourcnek tűnjün, de attól még nem az.

@bxh: szerintem nem feleslegs, kis oldalaknál se. Jó, nem egy ADOdb-re gondoltam, ahol a kód 90%-t csak az tenné ki. De kezdjük ott, hogy maga a PHP nyújt egyet alapból. Kis oldalaknál meg úgy se számít, hogy most 8 nanosec-l gyorsabb vagy lassabb az oldal.

Nekem is van egy saját egyszerű rétegem, viszem is mindenhova, még ha a leg egyszerűbb feladatról van szó. Már csak azért is, mert magában az osztályban meg van oldva a hibakezelés és nem kell minden mysql_query() után ellenőriznem, hogy biztos, hogy jól lefutott?

Oracle helyett meg már jó kiinduló alap a PostgreSQL is, rengeteg mindent meg lehet benne valósítani, amit MySQL alatt önmagában nem. Csak ameddig ilyen PHP kódok készülnek, addig el lehet képzelni, hogy SQL téren hol állnak az önjelölt PHP “csak a phphez értek de ahhoz nagyon mert egy-html fajlt be tudtam includeolni” Warriorok.

@Anonym: láttam multkor egy webáruházat, ahol szintén elbaszták a MySQL-ben a karakterkódolást és még volt index.php is!!! Tutira a TBDev-ből lopták ők is!!!!

Múltkor egy haverom túrt meg az ncore kódjában valamit, azt mondta, nagyon rendezett a kód. Innen kezdve már tutira nem TBDev :)))) De majd utánajárok ennek egyszer.

Egyébként meg, onnan kezdve, hogy veszek egy alapot és átírják a jó részét és saját fejlesztésként viszik tovább, szerintem joggal beszélhetünk saját fejlesztésről 🙂 Pl. ott a bitgate, első ránézésre látszik rajta, hogy valamelyik “szokásos” alapra építkeztek, de ha egy picit is megnézed, süt róla, hogy ki van az pucolva. Jah, de ők nem “lophatták” a TBDevet, mert jól beállítátták a karakterkódolásokat!!!!!!

Jah, és honnan van neked előző nCore kódja? 🙂

Egyébként meg mi bajotok az nCore-val? Az, hogy nekik bejött az, ami nektek nem? Meg ha TBDev-n is alapul, akkor mi van? Hol lopás az, hogy felhasználtak egy olyan alapot, amit azért adtak közre, hogy felhasználd? 🙂 (Tipp: sehol, csak valamiért fikázni kell megint a másikat.)

@s: “Nekem is van egy saját egyszerű rétegem”. Megosztanád esetleg velem, megkukkantanám :). Nekem néha muszáj annodb-t használni, de tényleg szörnyű.

Csak az “Endless Torrents” nevu oldal (ez az elso neve a mai nCore-nak) keszult TBsource forrasbol, az osszes tobbi (Endless-HQ-tol kezdve) egyedi.

http://uid.hu/blog/index.php/2007/06/endless-es-skyline/

Ácsi, a nagy magyarok nem ott vannak, hanem a zászlót lengetik. 😀

csak offolni vagytok jók:D