Comentarios en: PHP: Uso adecuado de parse_str

Por: ¿Estamos seguros con la nueva versión de WordPress? en Buayacorp - Diseño y Programación

Tue, 07 Aug 2007 00:51:53 +0000

[...] está en desarrollo — muchos problemas de seguridad, que en su mayoría se deben al uso de cadenas (tipo querystring) para pasar parámetros a funciones y a la ausencia de consultas parametrizadas. Unos cuantos bugs son graves (Fig. 1) y [...]

Por: SQL Injection en el plugin de estadísticas de WordPress.com en Buayacorp - Diseño y Programación

Mon, 30 Jul 2007 13:48:31 +0000

[...] existe ningún tipo de validación en los parámetros que esa función recibe, y como mencioné en ocasiones anteriores, usar esta forma (query string) para pasar parámetros a otras funciones es bastante [...]

Por: WordPress: Más vulnerabilidades de inyección de SQL en Buayacorp - Diseño y Programación

Fri, 13 Jul 2007 04:43:25 +0000

[...] variante está en estrecha relación a lo discutido en “PHP: Uso adecuado de parse_str“, en esta entrada, a pesar de que existen más lugares donde se puede hacer lo mismo, sólo [...]

Por: g30rg3_x

g30rg3_x — Sat, 30 Jun 2007 01:17:57 +0000

jejejejeje..

Se me fue me concentre tanto en post_type que no le di importancia, si perdon error mio lapsus brutus de conocimiento de sql...

Saludos

Por: alex

alex — Sat, 30 Jun 2007 01:07:22 +0000

g30rg3_x, justamente me refería a ese problema, puesto que con valores parecidos (?limit=2&type=foo%26limit=1%20UNION%20ALL%20...) al que mencionas, se sobreescribe el valor de la variable limit haciendo posible la inyección de SQL.

sql:

SELECT * FROM posts WHERE post_type = 'foo' LIMIT 1 UNION ALL ...

[...], aunque claro no obtendremos nada beneficioso ya que nos encontramos de tras de un LIMIT [...]

Eso es correcto siempre y cuando se haga uso de ORDER BY en la consulta, pero como en el ejemplo no existe esa parte se puede construir sentencias SQL perfectamente válidas.

En el comentario anterior hacía referencia a arrays, porque básicamente al ser éstas tablas hash, la última asignación a una misma llave (limit) es la que cuenta.

Saludos

Por: g30rg3_x

g30rg3_x — Sat, 30 Jun 2007 00:07:38 +0000

Bueno sigo sin ver lo que creo que estas pidiendo..
Pero mirando con mas detenimiento veo un medio-SQL-injection en $limit, ya que parse_str nos permite sobreescribir variables locales (http://www.acid-root.new.fr/advisories/14070612.txt) podriamos llamar a algo asi...

?limit=2&type=foo%26limit=bar

Asi basicamente estamos pasando el filtro de solo numeros (o mejor dicho el casting a integer) que hay un poco mas arriba, aunque claro no obtendremos nada beneficioso ya que nos encontramos de tras de un LIMIT pero talvez nos podria servir para sacar informacion.

Aunque como te dije aun no le veo por donde intente meter arrays durante pero ninguna de mis pruebas me dio positivo, asi que yo tambien quedo al pendiente de la solucion de la segunda parte...

Saludos alex...

Por: jdeveloper

jdeveloper — Fri, 29 Jun 2007 08:08:35 +0000

gracias alex, en cuanto tenga tiempo lo mirare mas detenidamente, pero ya voy pillando la dinamica a seguir.

Por: alex

alex — Fri, 29 Jun 2007 04:54:57 +0000

El segundo error tiene que ver en parte con parse_str y el tratamiento de arrays.

Por: paco

paco — Thu, 28 Jun 2007 20:06:25 +0000

yo no veo nada, podrías echarnos una manita? :S

Por: alex

alex — Thu, 28 Jun 2007 17:47:17 +0000

@g30rg3_x: Todavía queda otro problema de SQL Injection

@jdeveloper: Simplemente está codificando el apóstrofe dos veces.

php:

 echo urlencode(urlencode('\'')); ?>

Se hace esto para que la función addslashes no tenga ningún efecto sobre el valor de $_GET['type']="algo%27", este último se convierte en $post_type="algo'" gracias a la acción de parse_str.

Puedes ver un ejemplo en la página de prueba.

Saludos