Zend FR

Consultez la FAQ sur le ZF avant de poster une question

Vous n'êtes pas identifié.

#1 31-08-2011 10:21:37

Ultimata
Membre
Date d'inscription: 15-01-2009
Messages: 31

Gros problème de sécurité avec Zend_Acl (piratage)

Bonjour,

Je sollicite votre aide, suite à un gros problème sur le site beta d'un client.

En effet, il n'est pas ouvert (mais trouvable sur google), qu'une personne venant de marakesh ( 196.206.202.241 ) a :
- accéder au site
- à crée son compte
- c'est déloguer
- c'est relogué par magie sur un compte admin
- est parti sur le backend
- a uploader un shell (C99) via un uploader d'image (mais manque de bol, la faille est sécurisé donc il a rien pu faire)


Les sécurités présente sur l'authentification :
- prefix salté + mot de passe + suffix salté
- mot de passe génerer lors de l'inscription (donc il ne pouvait pas connaitre le MDP d'un compte admin)
- log de connexion mysql (ce qui prouve qu'il n'a pas fait de vol de session, vu qu'il y a le log de connexion sur son ip)


A chaques fois dans APACHE, il se passe ceci :

Code:

196.206.202.241 - - [26/Aug/2011:13:06:01 +0200] "POST /login/login/ HTTP/1.1" 302 20 "http://***.com/" "Opera/9.80 (Windows NT 5.1; U; fr) Presto/2.8.131 Version/11.11"
196.206.202.241 - - [26/Aug/2011:13:06:01 +0200] "GET /member/subscribe/errlogin/logins HTTP/1.1" 200 4905 "http://***.com/" "Opera/9.80 (Windows NT 5.1; U; fr) Presto/2.8.131

Et très bizarement, j'ai des lignes très suspectes :

Code:

196.206.202.241 - - [26/Aug/2011:13:08:29 +0200] "GET /application/models/***/Factory/Configuration.php HTTP/1.1" 200 380 "-" "Opera/9.80 (Windows NT 5.1; U; fr) Presto/2.8.131 Version/11.11"
196.206.202.241 - - [26/Aug/2011:13:08:39 +0200] "GET /models/***/Factory/Configuration.php HTTP/1.1" 200 383 "-" "Opera/9.80 (Windows NT 5.1; U; fr) Presto/2.8.131 Version/11.11"
196.206.202.241 - - [26/Aug/2011:13:10:05 +0200] "GET /backend/ HTTP/1.1" 200 1181 "http://***.com/" "Opera/9.80 (Windows NT 5.1; U; fr) Presto/2.8.131 Version/11.11"

Pourquoi essaye t'il d'aller dans /application/ alors qu'il est situer un dossier en dessous du www ?

Quelqu'un aurait il une piste ?

Adresse du site : http://shar.as/73sgl

Dernière modification par Ultimata (02-09-2011 17:01:56)

Hors ligne

 

#2 31-08-2011 11:18:40

Alcide_
Membre
Lieu: Brest
Date d'inscription: 20-03-2010
Messages: 31
Site web

Re: Gros problème de sécurité avec Zend_Acl (piratage)

Je viens de d'aller voir vite fait ton site et j'ai testé quelques unes de tes urls suspectes... je n'ai pas trouvé ce qu'il cherchait, d'ailleurs, est-ce que "/path/to/Factory/Configuration.php" existe dans ton application ?
Par-contre là où c'est très dangereux c'est que tu utilises Zend_Db_Profiler_Firebug avec un site en prod' !!!
Tout le monde à donc accès à tes requêtes SQL.
Je te conseille de fermer ton site ou de restreindre réellement l'accès avec une authentification .htaccess tant que tu n'auras pas résolu ton problème et terminé le debugg.
Sinon tu vas avoir de la visite...
Là je vais m'inscrire et faire un petit tour donc si tu vois un membre "HelloWorld" qui fait des trucs bizarres c'est moi !

Dernière modification par Alcide_ (31-08-2011 11:18:58)

Hors ligne

 

#3 31-08-2011 11:32:03

Ultimata
Membre
Date d'inscription: 15-01-2009
Messages: 31

Re: Gros problème de sécurité avec Zend_Acl (piratage)

Salut Alcide !

Tu as carte blanche sur le site wink. Le site n'est pas en prod théoriquement (le soir je le passe manuellement en maintenance), il est juste la pour faire des essais en ligne (notament avec le FBConnect).

Toutes les url qu'il a chercher existe (Configuration etc), et à mon avis il pensais trouver des mots de passe dans ce fichier (alors que c'est une db factory ^^).

Pour le Zend Db Profiler, merci (je l'avais presque oublier) ! Je n'oublirais pas de le désactiver wink.

Dernière modification par Ultimata (31-08-2011 11:37:40)

Hors ligne

 

#4 31-08-2011 12:12:11

Alcide_
Membre
Lieu: Brest
Date d'inscription: 20-03-2010
Messages: 31
Site web

Re: Gros problème de sécurité avec Zend_Acl (piratage)

Bon, je ne suis pas un hacker mais avec la lecture des requêtes SQL il doit être possible de jouer sur le userId ou sur le rôle à la création du compte avec un peu d'injection...
Vérifie bien si tous tes champs sont bien échappés et vérifiés... Mes compétences s’arrêtent là,  je ne suis pas un spécialiste en question de sécurité.
Bonne chance à toi !
PS : tu peux supprimer le(s) compte(s) HelloWord.

Hors ligne

 

#5 31-08-2011 12:23:07

Ultimata
Membre
Date d'inscription: 15-01-2009
Messages: 31

Re: Gros problème de sécurité avec Zend_Acl (piratage)

J'ai penser également au SQL injections.

Pour se log : pas possible d'injecter du sql (j'ai essayer, et j'ai pas réussi).
Pour l'inscription : il n'a pas été sur cette page (il l'a fait qu'une seul fois, pour crée son compte). Rien n'a été injecter

Autre chose, le compte ou il c'est logué c'est l'id 6 et (alors que le mien, qui est admin est ID 1). Nulpart il peut récupérer l'id d'autres users donc je le vois mal mettre l'id 6 au hasard.

Je comprend pas ;(

Hors ligne

 

#6 31-08-2011 21:13:58

thebutcher
Nouveau membre
Date d'inscription: 29-08-2011
Messages: 6

Re: Gros problème de sécurité avec Zend_Acl (piratage)

C'est peut-être beaucoup plus simple que ça : il avait ton mot de passe avant d'arriver sur le site.
Est-ce que ton mot de passe, tu ne l'utiliserais pas ailleurs ?
Beaucoup d'internautes utilisent souvent le même mot de passe pour s'inscrire à plusieurs sites web (parfois 2/3 différents en fonction du degrés de confiance dans le site).
Il y a des petits malins qui ne hach pas les mdp dans leurs bases pour les réutiliser ailleurs.
Ou alors, tu as une faille XSS dans ton interface d'administration (souvent dans les logs).

Parfois, les failles sont les plus évidentes ....

The Butcher

Hors ligne

 

#7 31-08-2011 22:41:55

Ultimata
Membre
Date d'inscription: 15-01-2009
Messages: 31

Re: Gros problème de sécurité avec Zend_Acl (piratage)

Salut TheButcher !

Pour le mot de passe, il est génerer aléatoirement et il n'a pas été changé (chaine de 8 caracteres majuscules/min/chiffres), et à bruteforce tu as une combinaison de plus de 1M de choix

Pour le XSS dans le login, c'est pas possible (il n'y a pas d'interface delogin, c'est gérer avec les roles ACL). Le seul hack qui puisse se passer c'est dans le login du frontoffice.

Pour le hash, les mots de passe sont crypter en md5 (oui je sais :p), mais avec double token (avant et après), et les tokens font une 20aine de caractères chaque un !

C'est vraiment un mystère complet ! Donc en attendant j'ai essayé de rajouter 2/3 trucs de sécu + deny from son ip (fixe), et je vais mettre un htpasswd du backend.

Si vous avez d'autres idées, ou essayé du XSS sur le login frontoffice je suis preneur !!!

Hors ligne

 

#8 31-08-2011 22:43:58

Ultimata
Membre
Date d'inscription: 15-01-2009
Messages: 31

Re: Gros problème de sécurité avec Zend_Acl (piratage)

J'ai essayé de faire des alert un peu partout .. sans succès .......... Soit ce type est un dieu, soit chui vraiment une daube ;(.

Le serveur a subi un piratage il y a un mois (DDoS principalement) sur un autre site hébergé. Je suspecte que le problème viens de la (le pirate est arriver sur le site en cherchant l'ip du serveur sur Bing). Aurait il mit un shell dessus ? Il aurait pu se loguer en changant la session coté serveur ?!
Mais dans ce cas de figure, si il a accès au serveur, pourquoi aurait il accéder à l'admin pour upload un shell via un file browser (de plus, il a même pas réussi).

J'ai essayer moi même d'uploader ce shell, meme en utilisant data tamper, impossible d'avoir à la sortie un fichier PHP et non GIF

Dernière modification par Ultimata (31-08-2011 22:47:11)

Hors ligne

 

#9 01-09-2011 19:03:29

thebutcher
Nouveau membre
Date d'inscription: 29-08-2011
Messages: 6

Re: Gros problème de sécurité avec Zend_Acl (piratage)

Je ne parle pas de XSS sur le login, mais sur les logs. C'est un endroit classique où il n'y a pas trop de traitement à l'affichage :-)

Enfin ... tout ça, c'est des idées, c'est vrai que ce n'est pas simple pour nous d'analyser ton problème.

Hors ligne

 

#10 02-09-2011 11:25:34

Ultimata
Membre
Date d'inscription: 15-01-2009
Messages: 31

Re: Gros problème de sécurité avec Zend_Acl (piratage)

Comment sa sur les logs ? O_o Tu aurais plus d'infos?

Hors ligne

 

#11 02-09-2011 17:21:18

thebutcher
Nouveau membre
Date d'inscription: 29-08-2011
Messages: 6

Re: Gros problème de sécurité avec Zend_Acl (piratage)

Exemple, j'ai une page qui affiche le détail d'un message dont l'id est en paramètre. On a fait les choses bien, on évite l'injection SQL avec un prepare, par contre on log un message (avec Zend_Log) pour dire "message demandé non trouvé : $id"

Si on entre du javascript dans l'id, et que l'administrateur passe par une interface pour afficher ses log en oubliant le htmlentities, on se retrouve avec un cas de XSS.

Hors ligne

 

Pied de page des forums

Propulsé par PunBB
© Copyright 2002–2005 Rickard Andersson
Traduction par punbb.fr

Graphisme réalisé par l'agence Rodolphe Eveilleau
Développement par Kitpages