Com certeza! hehe Em 14 de abril de 2011 12:00, Eric Saboia <[email protected]> escreveu:
> haeuhaeuhaeuh esse ai foi o FAIL do ano... por isso o "passado" entre > aspas, ainda ocorre, lógico, mas hoje em dia existem N formas "automáticas" > de se precaver disso. > > Como eu disse, vale a pena testar a falha, simulando um SQL Injection, mas > como o chará já fez isso também, volto a dizer que deveria pensar em outras > falhas de segurança. > > > 2011/4/14 Rafael Mattioni <[email protected]> > >> Acho que o Injection não é "tão do passado" assim. >> >> >> http://br-linux.org/2011/site-oficial-mysql-com-invadido-via-sql-injection/ >> >> Em 14 de abril de 2011 11:26, Eric Saboia <[email protected]> escreveu: >> >> Chará, >>> >>> Ele escapa todas as aspas que você envia em requests. >>> >>> 2011/4/14 Erick Patrick <[email protected]> >>> >>> > Eric Saboia: >>> > - Fiz uns testes aqui antes mesmo de mandar para cá esse e-mail. Tanto >>> que >>> > foi por isso que perguntei quais os métodos e contra o que o CI >>> realmente >>> > se >>> > protege. Espero que não seja no CI e tenha sido algum outro problema >>> que >>> > esteja além das nossas mãos (digo, mãos dos programadores). >>> > >>> > Anderson: >>> > Como falei no primeiro e-mail, estamos usando a versão 3.1.1 que é a >>> > estável >>> > mais atual. >>> > >>> > Obrigado a todos, >>> > >>> > >>> > >>> > >>> > >>> > 2011/4/14 Eric Saboia <[email protected]> >>> > >>> > > Se você ta com essa desconfiança, porque não tenta fazer um SQL >>> Injection >>> > > num form do CI? garanto que se o XSS_filtering ta ativo, você não vai >>> > > conseguir nada. Isso sem contar que o próprio PHP tem uma diretiva, >>> que >>> > se >>> > > não me engano, a partir do PHP 5, vem habilitada por default e que >>> também >>> > > previne o escape de aspas em inputs. >>> > > >>> > > SQL Injection é coisa do "passado", eu procuraria por outro tipo de >>> > falha. >>> > > >>> > > 2011/4/14 Erick Patrick <[email protected]> >>> > > >>> > > > Jairo: >>> > > > - Trabalhamos numa empresa que prover serviços de internet via >>> rádio em >>> > > > nossa cidade. Os servers de nossas aplicações ficam aqui mesmo na >>> > cidade. >>> > > > Quem tem acesso ao DB somos os 2 programadores e 1 admin. Segundo o >>> > > pessoal >>> > > > que trabalha com a segurança dos servidores, sofremos ataques todos >>> os >>> > > > dias, >>> > > > mas não somos invadidos há pelo menos 3 anos. Daí a dúvida em ser >>> no >>> > > > Wordpress ou no CI; >>> > > > >>> > > > Segundo o user_guide do CI, as chamadas a métodos da Classe Input é >>> > > > escapado >>> > > > automaticamente, como diz essa página aqui >>> > > > http://codeigniter.com/user_guide/libraries/input.html e, como >>> disse >>> > > > antes, >>> > > > o *XSS_filtering* estava ativado no momento. Não usamos SQL >>> própria, >>> > > > somente >>> > > > os comandos do active record. >>> > > > >>> > > > No formulário de login que a aplicação tem, não usamos captcha. E >>> não, >>> > > não >>> > > > salvamos nenhum dos comandos DML no banco e mesmo que o fizessemos, >>> > acho >>> > > > meio dificil que ficasse guardado em algum dos backups se tiver >>> sido >>> > > algum >>> > > > SQL-injection, já que a database foi apagada por completo. >>> > > > >>> > > > E como você comentou, não é o caso de apagar dados de uma tabela >>> com >>> > > > *delete >>> > > > cascade* como foi o seu, a gente realmente teve a base de dados >>> > apagada. >>> > > > >>> > > > No mais, obrigado mais uma vez. >>> > > > >>> > > > >>> > > > >>> > > > >>> > > > >>> > > > 2011/4/14 Jairo <[email protected]> >>> > > > >>> > > > > Precisa analisar se a invasão veio de outras fontes. >>> > > > > O banco tá num servidor em 'casa' ou hospedado fora ? >>> > > > > Quem tem senha de acesso ao DB ? >>> > > > > Tem rotina de backup automatizada ? Mexeram no script ? >>> > > > > >>> > > > > Falando do CI, temos alguns pontos : >>> > > > > - acesso direto a alguma página não daria, o próprio CI protege; >>> > > > > - algum campo de algum FORM que não esteja "escapado", permitiria >>> o >>> > sql >>> > > > > injection (?!); >>> > > > > - Brute force, provavelmente só numa tela de login. Usou captcha >>> ? >>> > > > > Escape ? Congelou o login por 15 minutos em 3 tentativas erradas, >>> > > > > etc... ? >>> > > > > - vc. usa logs dos comandos DML no banco ? usuário, IP, etc... >>> > > > > >>> > > > > A muito tempo atrás, ainda no DataFlex, eu cometi um erro >>> grosseiro >>> > de >>> > > > > lógica de programação mesmo. Rolava um delete cascade onde não >>> > deveria. >>> > > > > Só que ele apagava apenas uma tabela, parece que não é seu caso, >>> pois >>> > o >>> > > > > banco todo sumiu ! >>> > > > > >>> > > > > -- >>> > > > > Abs, >>> > > > > >>> > > > > Jairo >>> > > > > Sao Paulo / SP - Brasil >>> > > > > >>> > > > > >>> > > > > On Thu, 2011-04-14 at 09:41 -0300, Erick Patrick wrote: >>> > > > > > Pessoal, >>> > > > > > >>> > > > > > No local onde trabalhamos, por algum motivo do destino, a base >>> de >>> > > dados >>> > > > > do >>> > > > > > CI está no mesmo local que a base de dados de uma instalação >>> > > wordpress >>> > > > > > 3.1.1. De ontem para hoje, tivemos ambas as base de dados >>> > deletadas. >>> > > > Por >>> > > > > > esse motivo, gostaria de saber se alguém sabe quais os métodos >>> anti >>> > > > > > SQL-injection, anti XSS e quaisquer outras medidas que o CI usa >>> > para >>> > > > > poder >>> > > > > > proteger a aplicação contra ataques. Além disso, para deixar >>> > avisado, >>> > > > já >>> > > > > vi >>> > > > > > no user_guide que eles fazem escape no *$this->input;* o >>> > > > > > *XSS_filtering*estava ativado quando a base de dados foi >>> deletada; >>> > e >>> > > > > > estavamos usando o >>> > > > > > *Active Record* para acessar as consultas SQL. >>> > > > > > >>> > > > > > Será que o problema foi alguma possibilidade de hacking através >>> do >>> > > > > Wordpress >>> > > > > > ou um puro e simples brute-force com possíveis usuários e senha >>> na >>> > > base >>> > > > > de >>> > > > > > dados? >>> > > > > > >>> > > > > > Desde já, agradeço qualquer ajuda, >>> > > > > >>> > > > > >>> > > > > >>> > > > > _______________________________________________ >>> > > > > [email protected] >>> > > > > http://www.codeigniter.com.br >>> > > > > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >>> > > > > >>> > > > > --------------------------- >>> > > > > Oportunidade de negócio >>> > > > > http://www.franquiasargohost.net >>> > > > > --------------------------- >>> > > > > >>> > > > _______________________________________________ >>> > > > [email protected] >>> > > > http://www.codeigniter.com.br >>> > > > >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >>> > > > >>> > > > --------------------------- >>> > > > Oportunidade de negócio >>> > > > http://www.franquiasargohost.net >>> > > > --------------------------- >>> > > > >>> > > >>> > > >>> > > >>> > > -- >>> > > Eric Saboia - eric.saboia.org >>> > > >>> > > Beautiful is better than ugly, >>> > > Explicit is better than implicit, >>> > > Simple is better than complex, >>> > > Complex is better than complicated. >>> > > >>> > > The Zen of Python, by Tim Peters >>> > > _______________________________________________ >>> > > [email protected] >>> > > http://www.codeigniter.com.br >>> > > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >>> > > >>> > > --------------------------- >>> > > Oportunidade de negócio >>> > > http://www.franquiasargohost.net >>> > > --------------------------- >>> > > >>> > _______________________________________________ >>> > [email protected] >>> > http://www.codeigniter.com.br >>> > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >>> > >>> > --------------------------- >>> > Oportunidade de negócio >>> > http://www.franquiasargohost.net >>> > --------------------------- >>> > >>> >>> >>> >>> -- >>> Eric Saboia - eric.saboia.org >>> >>> Beautiful is better than ugly, >>> Explicit is better than implicit, >>> Simple is better than complex, >>> Complex is better than complicated. >>> >>> The Zen of Python, by Tim Peters >>> _______________________________________________ >>> [email protected] >>> http://www.codeigniter.com.br >>> http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br >>> >>> --------------------------- >>> Oportunidade de negócio >>> http://www.franquiasargohost.net >>> --------------------------- >>> >> >> > > > -- > Eric Saboia - eric.saboia.org > > Beautiful is better than ugly, > Explicit is better than implicit, > Simple is better than complex, > Complex is better than complicated. > > The Zen of Python, by Tim Peters > > _______________________________________________ [email protected] http://www.codeigniter.com.br http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br --------------------------- Oportunidade de negócio http://www.franquiasargohost.net ---------------------------
