Un "amico" che si diverte a fare l'hackerino sul mio forum...

lnessuno · 02-07-2004, 18:05

c'è uno che si diverte a cercare di rompermi il database del forum che ho fatto così a tempo perso, per tenere più che altro in contatto i compagni della mia ormai ex classe di programmatori.

il forum non ha nessuna sicurezza, non avevo nemmeno protetto con password il database perchè fondamentalmente non mi interessava, però ora la situazione inizia a farmi girare proprio i coglioni, è la seconda volta che entra e mi cambia le password degli utenti. non ho proprio voglia di mettermi a studiare protezioni strane, piuttosto lascio perdere quel forum e se ci vogliamo mettere d'accordo o sentirci per qualcosa facciamo per telefono.

cosa fareste voi al posto mio?

-kurgan- · 02-07-2004, 18:06

Quote:

Originariamente inviato da lnessuno
c'è uno che si diverte a cercare di rompermi il database del forum che ho fatto così a tempo perso, per tenere più che altro in contatto i compagni della mia ormai ex classe di programmatori.

il forum non ha nessuna sicurezza, non avevo nemmeno protetto con password il database perchè fondamentalmente non mi interessava, però ora la situazione inizia a farmi girare proprio i coglioni, è la seconda volta che entra e mi cambia le password degli utenti. non ho proprio voglia di mettermi a studiare protezioni strane, piuttosto lascio perdere quel forum e se ci vogliamo mettere d'accordo o sentirci per qualcosa facciamo per telefono.

cosa fareste voi al posto mio?

un minimo di protezioni mettilo sempre, la madre dei rompicoglioni è sempre incinta

lnessuno · 02-07-2004, 18:10

Quote:

Originariamente inviato da -kurgan-
un minimo di protezioni mettilo sempre, la madre dei rompicoglioni è sempre incinta

il bello è che so chi è. di andare a trovarlo e fargli il culo non ne vale la pena, lui probabilmente si diverte così, facendo fare ste cazzate a qualche suo collega (non ne avrebbe le conoscenze).

il fatto è che non è sicuro niente di quel forum, a partire dall'hosting, poi ho usato un semplice database access... a crackare qualunque password ci vuole un attimo, e anche il codice che ho messo non è certo il massimo della sicurezza.

quello che voglio è solo fargli capire che sta rompendo i coglioni e basta!

eriol · 02-07-2004, 18:15

minaccialo di denuncina alla finanzina il tuo hackerino no?

Leron · 02-07-2004, 18:17

mandagli una mail dove dici che ti fa pena, poi se ti gira butta tutto su phpbb + mysql, in un attimo lo fai

StErMiNeiToR · 02-07-2004, 18:17

Quote:

Originariamente inviato da eriol
minaccialo di denuncina alla finanzina il tuo hackerino no?

vedrai ke si caca sotto ^^

traccia l ip al coglione e poi mandagli una mail minacciando di denunciarlo

vedrai come si caca in mano

lnessuno · 02-07-2004, 18:17

Quote:

Originariamente inviato da eriol
minaccialo di denuncina alla finanzina il tuo hackerino no?

è un amico (oddio, comincio ad avere qualche dubbio) e un mio ex compagno di classe, non mi va di arrivare a quello e non ne varrebbe nemmeno la pena.

probabilmente ha solo avuto la password dell'ftp dall'altro amministratore, ora l'ho cambiata e vediamo se la cosa continua. però che rottura di cazzi!

eriol · 02-07-2004, 18:35

Quote:

Originariamente inviato da lnessuno
è un amico (oddio, comincio ad avere qualche dubbio) e un mio ex compagno di classe, non mi va di arrivare a quello e non ne varrebbe nemmeno la pena.

probabilmente ha solo avuto la password dell'ftp dall'altro amministratore, ora l'ho cambiata e vediamo se la cosa continua. però che rottura di cazzi!

allora dal momento che è un amico o pseudo tale gli fai capire che la cosa ti da VERAMENTE fastidio e che non sei più disposto a tollerare cose del genere.
se è un amico ti darà retta...

02-07-2004, 18:37

Quote:

Originariamente inviato da lnessuno

cut

andare a trovarlo e fargli il culo

cut

lnessuno · 02-07-2004, 18:54

Quote:

Originariamente inviato da Leron
mandagli una mail dove dici che ti fa pena, poi se ti gira butta tutto su phpbb + mysql, in un attimo lo fai

mica tanto... il forum l'ho fatto da zero in asp, completamente a mano... è una prova più che altro, e visto che c'è si potrebbe usare per tenere in contatto noi di quel corso.

non mi va di usare phpbb a questo punto, preferirei continuare su quello visto che l'ho fatto.

ad ogni modo, ora ho cambiato tutte le password, vediamo se domani riesce di nuovo ad entrare.

ah... il bello è che ste cagate le fa dal posto di lavoro, quindi presumo che sia qualche suo cazzocollega il lamer.

bluelake · 02-07-2004, 18:56

Quote:

Originariamente inviato da lnessuno
cosa fareste voi al posto mio?

chiamarei edivad come amministratore

LuPellox85 · 02-07-2004, 18:56

Quote:

Originariamente inviato da bluelake
chiamarei edivad come amministratore

così i danni li farebbe lui direttamente?

bluelake · 02-07-2004, 18:58

Quote:

Originariamente inviato da LuPellox85
così i danni li farebbe lui direttamente?

ovviamente

la cosa più bella è quando ci inserisce nuove funzioni nel pannello mod senza avvertire e si incazza perché vado subito a provarle

lnessuno · 02-07-2004, 18:59

Quote:

Originariamente inviato da bluelake
chiamarei edivad come amministratore

mmm

http://i2.1asphost.com/afpforum/topi...z=1&idtopic=37

dici che sto rischiando grosso?

lnessuno · 02-07-2004, 19:00

Quote:

Originariamente inviato da bluelake
ovviamente

la cosa più bella è quando ci inserisce nuove funzioni nel pannello mod senza avvertire e si incazza perché vado subito a provarle

Burlindo · 02-07-2004, 19:01

Quote:

Originariamente inviato da StErMiNeiToR
vedrai ke si caca sotto ^^

traccia l ip al coglione e poi mandagli una mail minacciando di denunciarlo

vedrai come si caca in mano

Qual'è un buon programma per tracciare l'ip? una volta ne ho visto uno sotto linux... non mi ricordo il nome.

edivad82 · 02-07-2004, 19:02

Quote:

Originariamente inviato da lnessuno
mmm

http://i2.1asphost.com/afpforum/topi...z=1&idtopic=37

dici che sto rischiando grosso?

Leron · 02-07-2004, 19:54

Quote:

Originariamente inviato da lnessuno
mica tanto... il forum l'ho fatto da zero in asp, completamente a mano... è una prova più che altro, e visto che c'è si potrebbe usare per tenere in contatto noi di quel corso.

non mi va di usare phpbb a questo punto, preferirei continuare su quello visto che l'ho fatto.

ad ogni modo, ora ho cambiato tutte le password, vediamo se domani riesce di nuovo ad entrare.

ah... il bello è che ste cagate le fa dal posto di lavoro, quindi presumo che sia qualche suo cazzocollega il lamer.

beh, un lavoro eccezionale se lo hai fatto da solo, tienitelo stretto, deve essere pure una bella soddisfazione

lnessuno · 02-07-2004, 20:05

Quote:

Originariamente inviato da Leron
beh, un lavoro eccezionale se lo hai fatto da solo, tienitelo stretto, deve essere pure una bella soddisfazione

grazie, in realtà il lavoro non è stato così enorme, l'ho fatto un pò a tempo perso diciamo

la soddisfazione c'è in effetti, dopo un anno di corso sono arrivato a fare un piccolo forum... e mi da fastidio vedere che c'è chi si diverte così, sinceramente, visto che lo scopo di quel forum non è certo essere sicurissimo, ma solo di dare la possibilità di tenerci in contatto...

Nospheratu · 02-07-2004, 21:36

eccomi

scusa il ritardo, ho letto solo ora

1) Tanto per cominciare, ti sarai reso conto che il forum che hai scritto (in ogni caso se l'hai fatto per passatempo, complimenti) è un colabrodo per le sql injections

Di trucchi ti questo tipo ce ne sono tanti, e in sintesi temo che col tuo forum siano possibili pressocché tutti se non metti almeno i filtri essenziali

esempio, pagina 'autentica.asp' (giusto una a caso...), riga 17:
i parametri passati alla query non sono controllati in alcun modo, sicché a quanto pare anche col semplice apice, carattere delimitatore del tipo stringa nell'sql, è possibile effettuare login con username a caso oppure eseguire comandi inattesi sul database (tipo cancellazioni, update, drop di tabelle

), oltre che ad avere informazioni sul database ecc.

E' il classico errore in cui incappano tutti coloro i quali si cimentano con le prime cosette con pagine server...

considera che devi filtrare QUALSIASI parametro che vada poi inserito in una query costruita come stringa.
Per qualsiasi, intendo tutti i parametri passati alla procedura Asp sia via POST (cioé i normali forum) sia via GET, spesso trascurati sotto questo punto di vista (per parametri Get intendo quelli passati attraverso l'url della pagina nella barra dell'indirizzo, dopo il ?, cioé nella Request.QueryString).

Ovunque ci siano parametri non filtrati nelle tue pagine, è possibile far casini

2) e poi c'é che devi mettere il db in una cartella che non abbia i permessi di lettura via http (con possibilità di accesso solo via script), non pubblica, altrimenti chiunque se lo può scaricare e fare login con i vari account.

3) asphost lo cambierei in due secondi, se vuoi ti spiego live online perché, come feci con porny

02-07-2004, 18:05	#1
lnessuno Bannato Iscritto dal: Feb 2000 Città: The city of wasting disease Messaggi: 7389	Un "amico" che si diverte a fare l'hackerino sul mio forum... c'è uno che si diverte a cercare di rompermi il database del forum che ho fatto così a tempo perso, per tenere più che altro in contatto i compagni della mia ormai ex classe di programmatori. il forum non ha nessuna sicurezza, non avevo nemmeno protetto con password il database perchè fondamentalmente non mi interessava, però ora la situazione inizia a farmi girare proprio i coglioni, è la seconda volta che entra e mi cambia le password degli utenti. non ho proprio voglia di mettermi a studiare protezioni strane, piuttosto lascio perdere quel forum e se ci vogliamo mettere d'accordo o sentirci per qualcosa facciamo per telefono. cosa fareste voi al posto mio?

02-07-2004, 18:17	#5
Leron Senior Member Iscritto dal: Aug 2002 Città: Trento Messaggi: 40877	mandagli una mail dove dici che ti fa pena, poi se ti gira butta tutto su phpbb + mysql, in un attimo lo fai __________________ http://www.trentografica.itGrafica e Fotografia a Trento

02-07-2004, 18:15	#4
eriol Senior Member Iscritto dal: Mar 2002 Città: hinterland nord milano Messaggi: 779	minaccialo di denuncina alla finanzina il tuo hackerino no?

02-07-2004, 21:36	#20
Nospheratu Bannato Iscritto dal: Jun 2004 Messaggi: 40	eccomi scusa il ritardo, ho letto solo ora 1) Tanto per cominciare, ti sarai reso conto che il forum che hai scritto (in ogni caso se l'hai fatto per passatempo, complimenti) è un colabrodo per le sql injections Di trucchi ti questo tipo ce ne sono tanti, e in sintesi temo che col tuo forum siano possibili pressocché tutti se non metti almeno i filtri essenziali esempio, pagina 'autentica.asp' (giusto una a caso...), riga 17: i parametri passati alla query non sono controllati in alcun modo, sicché a quanto pare anche col semplice apice, carattere delimitatore del tipo stringa nell'sql, è possibile effettuare login con username a caso oppure eseguire comandi inattesi sul database (tipo cancellazioni, update, drop di tabelle ), oltre che ad avere informazioni sul database ecc. E' il classico errore in cui incappano tutti coloro i quali si cimentano con le prime cosette con pagine server... considera che devi filtrare QUALSIASI parametro che vada poi inserito in una query costruita come stringa. Per qualsiasi, intendo tutti i parametri passati alla procedura Asp sia via POST (cioé i normali forum) sia via GET, spesso trascurati sotto questo punto di vista (per parametri Get intendo quelli passati attraverso l'url della pagina nella barra dell'indirizzo, dopo il ?, cioé nella Request.QueryString). Ovunque ci siano parametri non filtrati nelle tue pagine, è possibile far casini 2) e poi c'é che devi mettere il db in una cartella che non abbia i permessi di lettura via http (con possibilità di accesso solo via script), non pubblica, altrimenti chiunque se lo può scaricare e fare login con i vari account. 3) asphost lo cambierei in due secondi, se vuoi ti spiego live online perché, come feci con porny

Strumenti
Mostra una versione stampabile Invia questa pagina per email