WTF???

Outro teste:

OK, já passou da hora usar OpenDNS!

Segue os exemplos:

Python

print "Hello World"

C++-Epoc


// Hello World in C++, Epoc style (for Symbian OS)
#include < eikapp.h >
#include < eikdoc.h >
#include < eikappui.h >

_LIT(message,"Hello!");
CAknInformationNote* informationNote = new (ELeave) CAknInformationNote;
informationNote->ExecuteLD(message);
}


fonte: http://www.roesler-ac.de/wolfram/hello.htm

if (file_exists(realpath($_GET['teste'] . ".php"))){
echo 'OK';
}
else{
echo 'Fail';
}


Aparentemente esta verificação é bastante segura né?

Infelizmente não. O PHP usa o padrão de strings usado em C (aquelas terminadas com ‘\0′), o que gera um problema bastante conhecido chamado de Null Byte issue [1].

O que acontece se seu $_GET['teste'], aparentemente seguro, tiver um ‘\0′?
Sua função realpath vai verificar apenas o $_GET['teste'] e nem vai saber que existe um “.php”

Faça o teste:

http://localhost/labs/teste.php?teste=/etc/passwd%00

(%00 é o código hexadecimal aceito pelos browsers para o \0)

E o resultado:

OK

[1] http://en.wikipedia.org/wiki/Null_character

Executar um sudo /sbin/halt, mas sem precisar digitar a senha.

Fácil!

Vá até a linha de comando e digite:

sudo visudo

Será aberto um editor. Ao fim deste arquivo, ponha a seguinte linha:

%admin ALL=NOPASSWD: /sbin/halt


Calma calma, vou explicar:
Isto significa: Para todo usuário do grupo admin, não exiga senha para o comando /sbin/halt

Simples não?

Depois de procurar um pouco, achei um artigo que poderia me ajudar a fazer um túnel SSH afim de proteger meus dados em pontos de acesso wireless públicos.

Mas eu queria mais; Não queria ficar pondo e removendo proxy de todas as aplicações só porque mudei de rede. Queria deixar isto transparente.

Depois de perder algumas horas com regras IPTABLES descobri o Tsocks, ou Transparent Socks para os íntimos.

Instalação

No Ubuntu/Debian como sempre é muito fácil:
apt-get install tsocks

_{Falar de instalação já não tem mais graça….}

Configuração

Basicamente é necessário editar o arquivo /etc/tsocks.conf. Particularmente, eu limpei este arquivo e coloquei apenas as seguintes linhas:

local = 192.168.0.0/255.255.255.0
path {
reaches = 0.0.0.0/0.0.0.0
server = 127.0.0.1
server_type = 4
server_port = 5151
}

Calma calma, vou explicar:

Local: é o endereço e a máscara de subrede da rede local. Afina, quando você digitar 192.168.X.X você geralmente deseja acessar a rede interna, correto? Algumas pessoas podem querer utilizar 10.0.0.0/255.0.0.0.

Fora isto, eu quero que TODA a conexão feita para QUALQUER outro endereço, seja encaminhada para o meu Túnel. Para isto, criei um path .

reaches: Da mesma forma que Local, indica o IP da rede para qual eu quero acessar. 0.0.0.0/0.0.0.0 significa aqui toda e qualquer rede (exceto a definida em Local).

server : Indica o endereço IP do servidor Socks. No caso estará em minha máquina local.

server_type: Indica a versão do servidor Socks.

server_port: Indica a porta onde o servidor estará rodando. No meu caso, será a porta 5151.

E agora Rapá?

E agora precisamos rodar o nosso túnel. O meu fica da seguinte forma:

ssh -C -D 5151 MEU_LOGIN@talisker.c3sl.ufpr.br cat -


E depois iniciar o tsocks com o comando:

tsocks -on

Agora, para rodar o Firefox ou Pidgin utilizando o tsocks, basta dar o seguinte comando:

tsocks firefox
tsocks gaim


E está aí, pronto para usar e sem configurações adicionais!

Qualquer dúvida, estamos aí!

[]‘s

Danilo Cesar

Update: Desafio para férias: Fazer um port do Tsocks para Maemo para usar encriptação nas redes do C3sl.

Claro, pode haver variações de segurança como “escapestring” e md5 na senha. Mas a idéia é basicamente esta. Vejamos agora porque eu acho este tipo de procedimento inseguro.

1 – Todos os “usuários” do sistema executam com o mesmo usuário no banco de dados. Como o sistema deve ter um “super-usuário” que poderá fazer tudo no sgdb, todos os usuários do sistema poderão fazer tudo. O que quero dizer é que, em qualquer brecha mínima no sistema, um usuário comum (mas mal intencionado) poderá fazer drop em uma tabela inteira.

2 – A senha do usuário do banco de dados deverá ficar em um arquivo .php legível. Há um tempo atrás, eu utilizava um servidorzinho destes de 9,90 por mês para hospedar meu site. Um dia tive a curiosidade de saber o que tinha no /tmp do servidor. Então fiz uma página que recebia uma string, que se esta fosse um arquivo executava um system(“cat $valor”), e se esta fosse um diretório, executava um system(“ls -ls $valor”). O que eu percebi: Todos os usuários do servidor executavam na web com o mesmo usuário (normalmente o www). Logo o www deverá ter permissão para ler todos os arquivos. Então tive a curiosidade de listar o /home. E depois o /etc/.alias do apache. Indo desta forma, consegui observar o arquivo de configuração de banco de dados de um dos usuários. E depois disto, entrar no php MyAdmin.
Com isto, vocês já imaginam o tamanho potencial da catástrofe né?
Deixei este servidor e migrei para a dreamhost pois após enviar um e-mail alertando os administradores do servidor sobre falha, fui respondido com algo como: “Estamos cientes, mas você tem alguma dica de como resolver?”.

Tá tá, realmente a falha 1 pode ser resolvida se você for um programador extremamente observador e não deixar passar absolutamente nada. Sinceramente, acho isto quase impossível. E também se você gostar de re-inventar a roda, re-desenvolvendo todo um sistema de segurança em cima da aplicação, quando poderia ser usado o que “já vem pronto” do banco de dados.

Solução: Por a lógica de segurança em cima do banco de dados. Porquê? Porque ela já está implementada e tende a ser mais segura.

Explicação:

A idéia toda é, ao invés de fazer o “login” usando seleção você atrela o usuário ao banco de dados. Ao invés de “criar um usuário” na tabela admin, você cria um usuário no banco de dados e loga-se com ele. Entendeu?

No PHP ficaria algo assim:

mysql_connect($usuario,$senha,$database);

Após isto, em banco de dados de verdade (digo PostGress, Oracle e afins), basta você gerenciar as permissões (select, insert, drop´s, etc…) dos usuário em tabelas específicas. Por exemplo: Não faz sentido um usuário comum ter acesso à tabela de configuração, ou o mesmo poder dar drop em uma tabela qualquer.

Também utilizar Stored Procedures e Views ajudam bastante. Exige um pouco de conhecimento de DBA, mas deixa sua aplicação mais robusta, além de ser um procedimento muito mais seguro.

Sei que aplicações comerciais de grande porte trabalham desta forma. Mas a grande maioria dos programadores (principalmente web) nunca viram ou trabalharam com este tipo de abordagem. A intenção deste post é apenas dar uma idéia de uma forma diferente, e mais segura, de trabalhar.

Espero que este post incite uma discussão sobre esta e outras abordagem. E você, leitor, como trabalha?

Comentem!

[]‘s e Feliz Páscoa.

Eu pessoalmente já precisei desta informação muitas vezes, mas infelizmente nunca encontrei um lugar aonde pudesse fazer esta pesquisa.

Até hoje!

Navegando na internet descobri um site chamado http://www.ipgeo.com.br/, aonde eu dou a ele um endereço IP no Brasil e o sistema retorna pra mim, com uma precisão muito grande, a cidade aonde este indivíduo reside.
Também existe a opção de localizar CEP pelo IP, que é um resultado obtido por aproximação, mas também é muito interessante.

O sistema funciona com endereços IP’s fixos ou dinâmicos. Muito interessante! Vale a pena conferir!

[]‘s

Danilo Cesar

Hoje venho escrever sobre uma idéia que tive para solucionar um certo problema.

A algum tempo atrás necessitei trocar um site de um servidor para o outro, mas como este site servia algumas aplicações críticas (é, talvez nem tão críticas), o mesmo não poderia sair em nenhum momento do ar. Ou seja, deveria estar rodando perfeitamente tanto em um host quanto em outro.

Mas, como testar um sistema em um novo servidor? Substituindo as informações de DNS. Mas, no melhor dos casos demora uma hora. E se der errado? Substitui de volta? São pelo menos 3 horas de um sistema off-line. Acho que não é uma solução interessante para aplicações críticas né?

Solução inteligente.

Adicionar nova entrada no /etc/hosts. Simples assim.
Desta forma, você poderá testar sua aplicação no seu novo servidor, e todos os seus clientes continuarão acessando no antigo! Assim, quando você tiver certeza de que tudo está funcionando, você substitui oficialmente o DNS no seu registro de domínios. Legal né?

Passo a Passo

1) Primeiro pegue as informações de DNS de seu novo host.
Um exemplo seria o dreamhost: ns1.dreamhost.com

2) Com o comando ping, descubra qual o IP do servidor DNS

$ ping ns1.dreamhost.com
PING ns1.dreamhost.com (66.33.206.206) 56(84) bytes of data.
64 bytes from ns1.dreamhost.com (66.33.206.206): icmp_seq=1 ttl=44 time=233 ms

rtt min/avg/max/mdev = 233.172/233.172/233.172/0.000 ms

O Ip do servidor aqui é: 66.33.206.206

3) Abra o arquivo /etc/hosts (como root é claro), e adicione a linha

66.33.206.206 seu_site.com.br www.seu_site.com.br


4) Agora, no seu browser acesse o seu_site.com.br, e perceba que você estará acessando no novo servidor, e não mais no oficial.
Agora você pode testar a sua aplicação online, corretamente, sem colocar em risco a continuidade do seu serviço oficial. =)

Qualquer dúvida estamos ae!

Acho que esta solução não funciona para quem usa servidores proxy’s

[]‘s
Danilo Cesar

Venho falar hoje um pouco sobre Wireless, WPA e Linux.
Como algumas pessoas podem saber, manter uma rede wireless pode ser um problema. Qualquer pessoa na esquina da sua casa ou empresa pode estar tentando “hackea-la”. E, diferente do que muita gente pensa, o protocolo WEP não é alias de segurança, pois o mesmo pode ser quebrado com um pouco de conhecimento em menos de uma hora.

Solução: WPA

WPA é um protocolo de segurança criado pela Wireless Aliance para acabar com as enormes falhas de segurança do WEP. E conseguiram (digamos que apenas em partes, pois já saiu o WPA2).

Tudo muito lindo e muito bacana, mas como fazer minha rede rodar com WPA?
Existe um tutorial de como rodar WPA no linux neste site, mas é extremamente complexo: roda wpa_suplicant, copia deste conf para este, vai pra cá, vai lá… copia configuração…. etc etc etc…

Maneira Humana:

apt-get install network-manager-gnome

Este programa gera um applet, que ficará em seu systemTray mostrando o sinal da rede. Clicando sobre ele, é possível ver quais as redes disponíveis. Clicando sobre ela, ele tentará autenticar. Caso tenha encriptação, ele pedirá a senha e o tipo de autenticação, sendo esta WEP, WAP ou WPA2. O que facilita extremamente o gerenciamente de redes no Ubuntu.

Lembrem-se: Wireless? Use WPA2 sempre que possível!

Algumas ScreenShots:

Opções de encriptação disponíveis

Redes disponíveis

Para aqueles que tiveram problemas do programa simplismente não localizar rede nenhuma, abra o network-admin, vá para conexões wireless, remova todas as informações e reinicie o Ubuntu.

Hoje deixei o aiBur Framework de lado para fazer algumas coisas divertidas… =)

Um antigo camarada de programação ASP que está fazendo algumas brincadeiras com linux e SQUID me perguntou esses dias como ele poderia fazer um POST via linha de comando… Eu que não sabia exatamente o que ele queria indiquei:


echo "nome=danilo&idade=20" | lynx --post-data http://www.meusite.com.br/meu_post.php

Como muitos devem saber, este comando funciona perfeitamente para enviar POSTs via linha de comando. Mas meu amigo precisava de algo mais “bruto”. Ele precisava fazer, por exemplo, POST de um arquivo… Lá vai o Danilo arranjar uma solução…

Aqui vou conciliar uma dica que escrevi a muito tempo atrás para o vivaolinux, e a idéia sobre Headers HTTP que vi no BrunoTorres.net.

Ferramentas que vamos utilizar:

TCPUTILs -> Tcputils é um pacote que contém um conjunto de ferramentas para utilizar sockets diretamente pelo Shell… Na verdade é um servidor e cliente de echo… Quase como um telnet. Mas dá pra fazer algumas coisas bacanas com ele, que nós veremos agora…. =)

HTTP -> Hypertext Transfer Protocol ou Protocolo de transferência de hipertexto: é o formato da comunicação entre o Browser e o servidor. Por exemplo, é o cliente que envia cookies, o servidor que grava sessions, redireciona, etc etc etc… Seu padrão é definido pela W3C

LivehttpHeaders Extension: Extenção do Firefox que visualiza todos os headers de uma requisição http.

Bom, vamos brincar um pouco:

Precisamos primeiramente instalar o pacote TCPutil. Como eu uso Debian, é fácil:

apt-get install tcputil


Depois de instalado, virá uma lista de comandos. Iremos usar apenas o tcpconnect. Outros podem ser visto na documentação (man tcpconnect) ou no meu artigo citado acima…

A descrição do comando é a seguinte:
tcpconnect [HOST] [porta]

Após a conexão estabilizada, o cliente (no caso, você) poderá enviar suas strings de conexão. No caso, poderá mandar cabeçalhos HTTP para o servidor. Vamos fazer um teste?

tcpconnect danilocesar.com 80

Após a conexão com o servidor, você enviará os seguintes Headers do HTTP:

GET /blog/index.php HTTP/1.1
Host: www.danilocesar.com

Este é, talvez, o cabeçalho mais simples que uma requisição HTTP pode ter. Vamos entende-la:

GET -> É o método de envio de dados
/blog/index.php -> É a página que eu estou querendo
HTTP/1.2 -> É a versão do protocolo HTTP que estou usando
Host: -> É o Host que você está buscando.

E como respostas você vai ter os Headers vindos do Servidor e o código HTML específico da página.

Agora, nem todos os Headers que estaremos enviando possuem apenas 2 linhas. Para facilitar a nossa vida, colocaremos o cabeçalho HTTP agora em um arquivo texto e iremos enviar os headers assim:

tcpconnect danilocesar.com 80 < headers.txt

Creio que vá facilitar a nossa vida... Bom, vamos continuar.

_{Meus testes agora vão ser feitos no meu localhost… Por poder editar melhor os arquivos e tals….}

Creio que está na hora de enviar-mos alguns Headers mais “Pró”

Se você está com preguiça de ler a documentação do HTTP, podemos visualizar os Headers que o firefox envia utilizando a extenção LiveHTTPHeaders.

Vamos fazer um teste…. Com a extensão devidamente instalada, aperte ALT + L, e acesse uma página qualquer. Por exemplo, http://www.google.com.br

Os Headers que enviamos

GET / HTTP/1.1
Host: www.google.com.br
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.1) Gecko/20060209 Debian/1.5.dfsg+1.5.0.1-2 Firefox/1.5.0.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: pt-br
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: KIDYMD=#243194:FBOB#

Cuidado: As propriedades dos headers devem ocupar apenas uma linha cada uma. Toda quebra de linha a mais é feita pelo browser e deve ser discartada

Os Headers que recebemos

HTTP/1.x 200 OK
Cache-Control: private
Content-Type: text/html
Content-Encoding: gzip
Server: GWS/2.1
Content-Length: 1556
Date: Sun, 19 Feb 2006 16:25:35 GMT


Se você enviar estes mesmos headers no pelo tcpconnect, talvez você receba apenas algumas Strings estranhas, pois a informação vem toda compactada do Servidor pelo gzip. Para ver as informações inteiras, retire a linha “Accept-Encoding: gzip,deflate ” do seu header.

Agora, dentro do seu LiveHTTPHeaders, dê um Clean, volte ao google e busque por HTTP:
Temos agora 2 diferenças nos Headers.

GET /search?hl=pt-BR&q=HTTP+Headers&btnG=Pesquisa+Google&meta= HTTP/1.1

Referer: http://www.google.com.br/


O get agora está bem mais incrementado certo? Ele contém as Strings de busca do google.
Um novo Header foi enviado pelo browser: Referer. Ele indica o caminho completo da página de onde você veio. Isto é muito utilizado para quebrar spammers de blog (método bem inseguro, mas quebra boa parte dos spammers), para estatisticas (quais sites possuem links para o seu).

E os prometidos arquivos?

Vamos agora aprender a enviar arquivos. Na verdade, não muda muita coisa.


POST /obj/teste.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.1) Gecko/20060209 Debian/1.5.dfsg+1.5.0.1-2 Firefox/1.5.0.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: pt-br
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://localhost/obj/teste.php
Content-Type: multipart/form-data; boundary=--BoRdEr_Signature-00253658974569--
Content-Length: 700

No caso, estou mandando o meu arquivo Source.list Vamos às descrições:
Content-Type: multipart/form-data; – Indica o tipo do conteúdo
boundary=–BoRdEr_Signature-00253658974569– Indica o separador de conteúdo.
Content-Length: 700 – Tamanho do seu arquivo.
A parte de dentro seria o seu arquivo propriamente dito…
Content-Type: text/plain – Tipo do conteúdo. No caso, texto plano, mas poderia ser uma imagem, um executável, etc et.

Da mesma forma, o código acima funciona com imagens, mas não mostro aqui com imagens pois seria inútil, pois provavelmente viria encriptada…

Bom, e termina aqui a descrição do problema e da solução.
Caso tenha problemas, ou sugestõe, comente abaixo.

[]s!

_{O tcpconnect tem um número máximo de caracteres de resposta. Isso pode dar algum problema com Headers muito grandes}

Bom, neste segundo artigo aqui venho falar um pouco sobre segurança em sistemas PHP.

Creio que muitos acham que este é um assunto batido: Também acho!
Mas, depois de verificar alguns sistemas em PHP começei a perceber alguns “istupros” à segurança na internet…

Injection Básico

_{Caso você seja um programador experiênte, diriga-se à próxima seção. Ou leia esta apenas por diversão =)}

< ?
$user = $_POST["usuario"];
$senha = $_POST["senha"];
$sql = "SELECT * FROM users WHERE user='" . $user ."' AND senha='" . $senha . "'";
$result = mysql_query($sql,$cox);
?>


Temos ai em cima um exemplo de um site “exploitável” via SQL Injection.

Como a maioria dos programadores deve saber, qualquer “piá de prédio” que se preze iria colocar, por exemplo no campo usuário o valor 1′ OR 1=’1 ou o clássico admin’#.
Desta forma o SQL ficaria assim:


$sql = "SELECT * FROM users WHERE user='1' OR 1='1' AND senha=''xxxxxxxx";
OU
$sql = "SELECT * FROM users WHERE user='admin'#' AND senha=''xxxxxxxx";

Isso retornaria um usuário qualquer no banco de dados, e o segundo caso, o usuário malicioso (vulgo: piá de prédio) teria acesso ao usuário admin….

Mas como todos sabem, podemos facilmente evitar esses problemas tratando as variáveis com mysql_escape_string(), que substitui caracteres perigosos por \Caracteres, evitando SQL injtections.

Escape String Mania!!!

Depois de certo tempo, vários administradores de sistemas começaram à usar os tais “escapes strings”, addslashes ou soluções semelhantes….

Ai, em tudo quanto é lugar começaram à utilizar os tais escapes strings, onde precisa e as vezes onde não precisava. E se achavam super seguros..

Analizando códigos, começei a notar os seguintes vícios:
“Tudo o que eu recebo e coloco em um SQL eu preciso dar escape. Ai sim estarei seguro!”
Não é bem assim…. Por exemplo no código abaixo:

Quero selecionar todas as entradas da minha agenda de uma determinada classe “”

$class = mysql_escape_string($_GET['class']);
$sql = 'SELECT * FROM agenda WHERE class=' . $class . ' AND user=' . $_SESSION['user'];


Você, leitor deste blog, programador PHP, diria que isto é um SQL “seguro”?
Regra número 2: Nunca confie no que vem do cliente.

Utilizando de um código como este, o usuário poderia simplismente digitar na barra de endereços:

http://www.meusiteinseguro.com.br/pagina.php?class=10%20OR%201

Resultando no seguinte SQL:
SELECT * FROM agenda WHERE class=10 OR 1 AND user=250
O que resultaria numa cáca danada pro sistema, abrindo todos os dados da agenda, de todos os usuários…
Isso falando apenas de SELECTs. O problema seria muito maior se tratando de updates e deletes.

Na verdade esse é apenas um problema de mal uso de escape_string.
Não basta apenas utiliza-las para verificar um possível injection. O problema seria resolvido formatando os dados usanod, por exemplo, a fução intval(): que pega apenas números inteiros de uma string.

Verifique se você não cometeu, ou está cometendo esses erros…