Nevzdáváme to - nová burza bitcoinů

Nevzdáváme to - nová burza bitcoinů
« kdy: 27. 11. 2013, 23:45:57 »
Hledám dobrovolníky pro odtestování demo aplikace chystané burze bitcoinů. Uvidíte sami, že celý koncept burzy je diametrálně odlišný od toho, co jsme doposud na českém trhu viděli. Rozjezd aplikace byl urychlen zejména po crashi carlosovy směnárny bitcash jako výzva "umíme to lépe zabezpečit".

A jak správně každý hacker ví, že se nedá po internetu nedá hacknout počítač, který není připojen k internetu, stejně tak se nedá vykrást bitcoinová směnárna, ve které nejsou žádné bitcoiny.

Přijďte ochutnat a vyzkoušet si demo. Budeme vděčný za každý nahlášený problém. Pokud nám někdo chce ukázat, "že to fakt neumíme zabezpečit", tak ať to zkusí prolomit. Nejlepšího hackera naší demo aplikace odměníme. (hack != DDoS útok).

https://www.bitstock.cz

Na demu každý začíná se 100kKč. Všechny obchody jsou jen "jako". Bitcoiny nepřevádějte, potvrzení o převodu lze v demu snadno nafejkovat (nebude uznáno jako hack).

Ostrý start se chystá v brzké době.
« Poslední změna: 28. 11. 2013, 10:30:51 od Petr Krčmář »


PANKapitanRUM

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #1 kdy: 28. 11. 2013, 01:22:42 »
Máš to děravý, že bych tě nenechal hlídat ani nezavřenou žumpu ::)

Abych byl konkrétní, už jen to, že je možné sosnout banner: https://www.bitstock.cz/index.php
Apache/2.2.22 (Ubuntu) Server at www.bitstock.cz Port 443
Kromě toho, že pro 2.2.22 je exploit, že vím, že to asi jede na ubuntu a tak dále.

Hned vykecáš všechno i co nevíš:

Error in query: SELECT signature, title, status FROM stock WHERE signature = ; SELECT id, name, last_price, currency FROM exchange WHERE stock_signature= ;</script>'; SELECT signature, title FROM stock WHERE status='opened' ORDER BY stock.order;    SELECT trade.id,UNIX_TIMESTAMP(trade.created) AS date, trade.amount, trade.price, trade.state FROM trade JOIN command ON trade.sellCmd = command.id JOIN wallet ON command.walletid = wallet.id WHERE wallet.currency = ' ORDER BY trade.created DESC LIMIT 13; CALL generateDOMparallel();</script>', 10);

Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu  ::)




PANKapitanRUM

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #2 kdy: 28. 11. 2013, 01:25:23 »
To je zase podle logiky: Když to vypadá na první pohled hezky, pak to musí být i bezpečný, no tak do toho narveme BTC  ::)
Už mi těch lidí, co přišli o BTC, není líto, ne už vůbec, BTC evidentně nejsou peníze, ale diagnóza ::)

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #3 kdy: 28. 11. 2013, 01:53:07 »
Máš to děravý, že bych tě nenechal hlídat ani nezavřenou žumpu ::)

Abych byl konkrétní, už jen to, že je možné sosnout banner: https://www.bitstock.cz/index.php
Apache/2.2.22 (Ubuntu) Server at www.bitstock.cz Port 443
Kromě toho, že pro 2.2.22 je exploit, že vím, že to asi jede na ubuntu a tak dále.

Hned vykecáš všechno i co nevíš:

Error in query: SELECT signature, title, status FROM stock WHERE signature = ; SELECT id, name, last_price, currency FROM exchange WHERE stock_signature= ;</script>'; SELECT signature, title FROM stock WHERE status='opened' ORDER BY stock.order;    SELECT trade.id,UNIX_TIMESTAMP(trade.created) AS date, trade.amount, trade.price, trade.state FROM trade JOIN command ON trade.sellCmd = command.id JOIN wallet ON command.walletid = wallet.id WHERE wallet.currency = ' ORDER BY trade.created DESC LIMIT 13; CALL generateDOMparallel();</script>', 10);

Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu  ::)

OK, vzdávám to, pouč mě, jak jsi obešel mysql_real_escape...

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #4 kdy: 28. 11. 2013, 02:09:59 »
Máš to děravý, že bych tě nenechal hlídat ani nezavřenou žumpu ::)


Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu  ::)

OK, vzdávám to, pouč mě, jak jsi obešel mysql_real_escape...

Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.


GET /index?market=cokoliv%3Cscript%3Ealert('Toto%20je%20%C3%BAsp%C4%9B%C5%A1n%C3%BD%20XSS%20%C3%BAtok.');%3C/script%3E

To že to vypisuje hlášku, to je schválně, protože to je ještě v testu. Ale jo, máš pravdu, nemusela by tam být, odstraním.... přesměruju vše do logů...

Přes escapaci jsi neprošel, chybová hláška mysql zní...

Error: Illegal mix of collations (ascii_bin,IMPLICIT) and (utf8_general_ci,COERCIBLE) for operation '='

To sice není nic moc, ale k narušení bezpečnostni nedošlo...


Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #5 kdy: 28. 11. 2013, 02:23:45 »
Je to opravený, dík za spolupráci

(jo, hlásí to 500, ale to je záměr)

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #6 kdy: 28. 11. 2013, 07:20:38 »
ROFL :))

Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.
[...] To sice není nic moc, ale k narušení bezpečnostni nedošlo...
Vyzrazení vnitřní struktury dat není narušení bezpečnosti? U takhle citlivé věci?

Jestli jsi nám chtěl demonstrovat, že o bezpečnosti vůbec nic nevíte, tak se ti to podařilo :)))

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #7 kdy: 28. 11. 2013, 07:31:20 »
ROFL :))

Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.
[...] To sice není nic moc, ale k narušení bezpečnostni nedošlo...
Vyzrazení vnitřní struktury dat není narušení bezpečnosti? U takhle citlivé věci?

Jestli jsi nám chtěl demonstrovat, že o bezpečnosti vůbec nic nevíte, tak se ti to podařilo :)))

Tomuto typu bezpecnosti rikam security through obscurity. Co kdybych platformu vydal jako open source? I se znalosti vnitrno struktury bys ji nemel byt schopen narusit.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #8 kdy: 28. 11. 2013, 07:59:14 »
Tomuto typu bezpecnosti rikam security through obscurity.
V pořádku. Můžeš tomu říkat klidně "chleba s máslem", nemám nic proti.

Co kdybych platformu vydal jako open source? I se znalosti vnitrno struktury bys ji nemel byt schopen narusit.
Pokud bys ji vydal jako OSS, vystavil by ses velkému riziku, že ve zdrojácích někdo najde chybu a zneužije ji.

"neměl bych být schopen narušit" = "software by neměl obsahovat chyby"
Relevanci tohodle tvrzení ať posoudí každý sám. Stejně jako důvěryhodnost vaší směnárny z bezpečnostního hlediska.

Btw, jak to máte právně? Licenci máte nebo si myslíte, že není potřeba? Na základě čeho?

Bla

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #9 kdy: 28. 11. 2013, 08:11:14 »
Dobře RUM, dobře ;D ;D

Ondřej Novák

Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu  ::)

Jestli to z té věty správně chápu, tak zkusil pár kinderfígůlů a když uspěl, tak s tím přestal ztrácet čas  ;D
Hele, možná sem sám, ale vidím to tak, pokud chceš lidi přesvědčit, že to máš fuckt secure, měl bys to mít už dobře zabezpečný a pokud ne, tak nepiš tohle:

Hledám dobrovolníky pro odtestování demo aplikace chystané burze bitcoinů. Uvidíte sami, že celý koncept burzy je diametrálně odlišný od toho, co jsme doposud na českém trhu viděli.
blablabla
Budeme vděčný za každý nahlášený problém. Pokud nám někdo chce ukázat, "že to fakt neumíme zabezpečit", tak ať to zkusí prolomit. Nejlepšího hackera naší demo aplikace odměníme. (hack != DDoS útok).


Sám tu tvrdíš, že to máte dobře zabezpečný a že když se to někomu povede lousknout, tak ho odměníte.

Ale to tvoje "k narušení bezpečnosti nedošlo" a "o co jde, je to demo ne", tak to mi nějak nehraje  ;D

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #10 kdy: 28. 11. 2013, 08:39:43 »
OK, vzdávám to, pouč mě, jak jsi obešel mysql_real_escape...
Na mysql_real_escape bych rozhodně nespoléhal, to není zabezpečení, ale pokus o zamaskování problému. Víte, jak mysql_real_escape funguje a jaké má předpoklady pro bezpečné použití? Jednak musíte zajistit, že programátor na každý vstup od uživatele tu funkci aplikuje právě jednou. To zajistíte jedině tak, že si to programátor ohlídá, otestovat to moc nejde – to není zrovna bezpečný přístup. Druhá věc je, že ta funkce má fungovat přesně inverzně k parseru SQL dotazů v použité MySQL. Opravdu jste si jist, že ve vaší verzi PHP je ta funkce přesně inverzní k vaší verzi MySQL? Že se to nezmění s nějakým minor updatem PHP nebo MySQL?

Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.

Petr

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #11 kdy: 28. 11. 2013, 08:44:42 »
Správně, hlavně to nezabalit, když to všichni zabalí, z čeho budou žít chudáci zloději. Poslední dobou se jim sice zadařilo, ale chtějí peníze i za 1/2 roku, za rok...  :D

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #12 kdy: 28. 11. 2013, 08:56:37 »
Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.
Nejenom to. Taky můžeme jenom doufat, že tohle je jenom frontendová tabulka, kde je uložená historie transakcí pro účely zobrazování a pány nenapadla taková kravina jako přímo v SQL transakce párovat :)

Btw, jakou přesnost má UNIX_TIMESTAMP? Jestli na vteřiny, tak to není dostatečná přesnost ani pro frontend.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #13 kdy: 28. 11. 2013, 09:02:21 »
Dobře RUM, dobře ;D ;D

Sám tu tvrdíš, že to máte dobře zabezpečný a že když se to někomu povede lousknout, tak ho odměníte.

Ale to tvoje "k narušení bezpečnosti nedošlo" a "o co jde, je to demo ne", tak to mi nějak nehraje  ;D

No ale vždyť nic nehacknul. Jenom donutil server zobrazit chybovou hlášku. Žádnou výhodu nezískal, ani peníze, ani kontrolu nad aplikací.

WTF

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #14 kdy: 28. 11. 2013, 09:09:48 »
Boze! Prosim, vykaslete se na to a hlavne to nikdy nerozjizdejte na ostro! Fakt bych nechtel byt ten chudak, co sveri tehle smenarne penize.
Autor  ma evidentne o bezpecnosti temer nulovou predstavu a ma drzost se pustit do projektu, kde jde o opravdove penize uzivatelu!

Brrr