Back & Partner

Nach der etwas laengeren Downtime is mein Blog nun zum Glueck wieder da <3

Hab ne neue Partnerschaft mit ner Seite (http://trash-sms.com/) doch aus welchen Gruenden auch immer wird bei mir die Seite “Partner” nicht mehr angezeigt.

Das sind dann in etwa so aus:

kA wie ich das hinbekommen hab, ich hoff es kommt so schnell wieder, wie es weg war 😀

In der MySQL DB ist es noch normal drin, daher kA warum das unsichtbar ist..

LFI & RFI

Zum Thema Sicherheit von PHP Scripts (mit besonderem Fokus auf SQL Injections) gab es vor kurzem ja schon einen Eintrag, jedoch möchte ich einige weitere Tipps/Verbesserungen vorstellen, die ziemlich einfach umzusetzen sind ohne gross an Performance einzubüssen.

LFI
Als erstes möchte ich kurz auf LFIs (local file includes/inclusions) eingehen. In der Praxis entsteht eine solche Lücke meist aus Leichtsinn, Unwissenheit oder aufgrund der Faulheit des Coders bei der Nutzung von include oder require (selbstverständlich auch bei include_once respektive require_once). Hier ein kurzes Beispiel eines verwundbaren Scripts:


Sobald der GET Parameter “page” gesetzt ist (http://…/index.php?page=user) wird die Datei includet. Da keinerlei Überprüfung des Parameters erfolgt kann ein Besucher mit bösen Absichten jegliche Datei includen die er will zum Beispiel so: “http://…/index.php?page=../../../../../../etc/passwd” – Auf diese Weise erhält er Zugang zu jeder Datei auf dem Server auf dem der HTTPDaemon läuft (auf Finessen wie CHROOT Jails etc. gehe ich hier nicht ein).
Auch eine Abfrage wie:


Wird nicht helfen, da die Möglichkeit ungewollte Files zu includen noch immer besteht.
Eine einfache Möglichkeit solche Lücken zu schliessen ist sogenanntes Whitelisting. Dabei erstellt man einen Array mit den Seiten und prüft dann ob der “page” Parameter darin enthalten ist:


So includet man einfach die “main.php” sobald der “page” Parameter nicht im Array ist und schliesst somit die LFI Lücke.

RFI
Eine ähnliche Attacke wie LFIs nur wird hier eine Datei von einem anderen Server geladen (zum Beispiel eine PHP Shell) und dann durch das Script ausgeführt. Auch hier hilft das oben vorgestellte Whitelisting um solchen Attacken vorzubeugen.

Fürs erste war es das nun auch schon, ich werde mich jedoch in Kürze mit einem weiteren Artikel, der noch weitere PHP Security Tipps beinhalten wird, melden, besucht den Blog einfach wieder oder haut ihn gleich in euren Feedreader rein.

So long
bl0b

Danke an bl0b fuer den Artikel, eventuell folgt demnaechst mehr von ihm 😉

Back!

Nach rund 2 Wochen ist mein Blog wieder zurueck! 🙂 Gruende hierfuer war eine DDoS Attacke.

Was gibts neues?

Werd nun auch nen paar Blog Eintraege von bl0b posten, da er gerne an meinem Blog “mitwirken” moechte und eventuell sehts demnaechst nen neuen Blogger an meiner Seite 😉 Zu zweit denkts sich quasi einfacher 😀

Blog Eintrag folgt sofort 😉

Was noch neu ist, hab mir die eMail PGP Verschluesselung genauer angeschaut, find das echt interessant und werde demaechst wahrscheinlich nen Tutorial zum Thema PGP eMail verschluesselung machen, damit ihr euere eMails verschluesselt verschicken koennt 😉

Wunesch euch nen schoenen Start in die Woche! 🙂

Wochenrueckblick

Da ich letzte Woche aus verschiedenen Gruenden (u.a. mein Geburtstag :p) verhindert ( oder zu faul :D) war, etwas zu bloggen kommt hier ein kleiner Wochenrueckblick, was sich bei mir so getan hat.

Erste Schulwoche in der neuen Schule fast rum, ich freu mich so ^^ Dort sieht es teilweise echt extrem aus, was das Schulgebaeude anbetrifft, ne Sanierung waere dringend faellig ..^^ Aber nun gut,

Mit was fang ich am besten an?

Hab nen neuen Partner seit ~ 7 Tagen, naemlich SceneCoderZ.cc (Digital underground Community), sollten denk ich bekannt sein 🙂

Und joa, gibt auch 2 neue Hackits von h0yt3r && ck und tmh, welcher sein Glueck auch versucht hat. ;P

h0yt3r && ck: http://crankctf.kilu.de/

-tmh-: http://webctf.kilu.de/ctf_level1.php

Hab zu meinem Geburtstag dann ne tolle Signatur von h0yt3r bekommen, welche ich euch natuerlich zeigen moechte:

Dankeschöön <3

Da Sebo sein Projekt (ohne offizielles statement 🙁 ) 425mb.com gestorben ist, macht er sich gleich an ein neues Projekt dran, naemlich bietet er weiterhin Hosting an, diesmal jedoch gegen Bezahlung (wobei die Preise meiner Meinung nach guenstig sind).

Sein neues Projekt heißt nun Synhost.eu hab mit ihm “ne enge Partnerschaft” (lol), daher findet ihr hier seinen Banner: http://j0hnx3r.org/?page_id=210 und durch den Promo Code 50percentoff, bekommt ihr sein Bronze packet um 50% billiger (gut, das bekommt jeder xD).

Hab bei ihm nun 1 Monat kostenloses Hosting erhalten, also das Bronze Packet zum testen, bin mit seinem Service und dem schnellen Bestellablauf und der schnellen Bereitstellung des Webspaces sehr zufrieden, faellt mir atm auch kein negativer punkt ein, außer das man was zahlen muss (qualitaet kostet eben oft etwas) 😛 Werd euch weiter unten sagen, was ich dort hosten werde.

Ihr wollt Sebos Hosting Service auch fuer einen Monat kostenlos testen?

Sebo hat mir 5 Promo Codes gegeben, welche ich an euch verteilen darf. 🙂

Bronze Packet features:

Wer also Sebos Bronze Hosting Packet auch gern testen moechte, sollte ne eMail an J0hn.X3r[at]gmail[dot]com schreiben, oder einfach seine Anfrage als Kommentar hinterlassen, schreibts eventuell noch dazu, warum ihr den Code bekommen sollt und da ich nur 5 Stueck habt, solltet ihr schnell zuschlagen, sonst isses weg 😀 Wichtig, wenn ihr per “Kommentar” anfragt, schreibt eure eMail Adresse in den text mit rein (aufgrund dessen, dass ich weder IPs noch eMail Adressen logge, ist das noetig, da ich euch sonst nicht kontaktieren kann), wer seine email nich public posten moechte, kann mich gern per email kontaktieren und ihn dort bekommen.

Ich werd morgen mal schaun wie viele sich gemeldet haben, sollten es mehr als 5 sein, werd ich nen ultimatum festlegen und am Ende wird eben ausgelost.

Wieder zu etwas anderem, der Kartoffel-Hack Blog ist nun auch wieder erreichbar, jedoch bloggt -tmh- nicht mehr ueber “alles” sondern nur noch ueber den Kartoffel-Hack, was angenehm ist, da er nur dann bloggen “muss”, wenn es etwas neues zum Thema Kartoffel-Hack gibt.

Hab Five-Three-Nine vor ewigen Monaten schonmal versprochen etwas ueber seinen neuen Blog hier zu schreiben, nun hab ich Zeit dafuer gefunden.

555555555555555555   333333333333333         999999999     
5::::::::::::::::5  3:::::::::::::::33     99:::::::::99   
5::::::::::::::::5  3::::::33333::::::3  99:::::::::::::99 
5:::::555555555555  3333333     3:::::3 9::::::99999::::::9
5:::::5                         3:::::3 9:::::9     9:::::9
5:::::5                         3:::::3 9:::::9     9:::::9
5:::::5555555555        33333333:::::3   9:::::99999::::::9
5:::::::::::::::5       3:::::::::::3     99::::::::::::::9
555555555555:::::5      33333333:::::3      99999::::::::9 
            5:::::5             3:::::3          9::::::9  
            5:::::5             3:::::3         9::::::9   
5555555     5:::::5             3:::::3        9::::::9    
5::::::55555::::::5 3333333     3:::::3       9::::::9     
 55:::::::::::::55  3::::::33333::::::3      9::::::9      
   55:::::::::55    3:::::::::::::::33      9::::::9       
     555555555       333333333333333       99999999        

Tja, ueber was gehts auf seinem Blog, damals hatte es relativ viel mit Coding zu tun, er hatte auch immer mal wieder interessante Sachen gebloggt und oefter auch mal Python Code Ausschnitte gepostet, nun ist er zwar was bloggen angeht etwas inaktiv (er meinte irgendwas mit Qualitaet 😛 – Nicht boese gemeint natuerlich <3), aber dafuer benutzt er als "Blog CMS" sein eigenes, selbst geschriebenes und entwickeltes Blog System mit allem was es braucht und einer netten Kommentar Funktion. 🙂 Meiner Meinung nach nen netter Blog mit Niveau 😉 Jow, was hab ich demnaechst noch vor, werd euch eventuell demnaechst ne Seite mit Backups zeigen, welche ich mir teilweise "selbst geholt", jedoch auch zum groessten Teil ausm Netz geholt hab. Entweder mach ich das in Form einer WordPress seite, oder einer gaaaanz simplen (langweiligen?) HTML Page^^ Kommt also wahrscheinlich dann demnaechst 🙂 Nun der letzte Punkt fuer heute, was ich bei Sebos Hosting Teil schon angesprochen hatte, was werd ich dort hosten? Da nen eigenes Hackit die (Basic) PHP & MySQL Skills von mir weiter "ausbaut", hab ich vor, demnaechst nen eigenes kleines Anfaenger Hackit zu schreiben, eventuell auch mit einer “Bestenliste”. Werd das dann bei Sebo hosten und vorallem SQL Injection Einsteigern die Moeglichkeit geben, mal nen hackit “durch” zu bekommen. Im Kopf hab ich relativ leichte Vorstellungen, eventuell mitm Link zu nem Blogeintrag von mir wo man Hilfe erhalten kann, also wirklich sehr simple und fuer Anfaenger passend 🙂 Mal schaun, eventuell mach ich mich dieses WE oder bis Ende naechste Woche dran 🙂

Joa, das wars soweit erstmal von meinem Rueckblick, wuensch euch was 🙂