API tools faq
paste
Advertisement
Guest User

Untitled

a guest
May 1st, 2017
577
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 7.83 KB | None | 0 0
raw download clone embed print report
  1. Olá David,
  2.  
  3. Agradeço imenso o aviso.
  4. Por favor, indique-me que tipo de erros é que encontrou e como é que podemos corrigir isso de forma a proteger a informação dos nossos utilizadores.
  5.  
  6. Cumprimentos,
  7. Vitor Nunes
  8.  
  9.  
  10. No dia 25 de março de 2017 às 17:02, <david.bc2.24@gmail.com> escreveu:
  11. Nome: David Baptista Capela
  12. Mensagem: Muito boa tarde matematica.pt
  13. Gostava de informar que o site contém bastantes erros SQL , peço a quem elaborou o site que tenha atenção nos links com erros SQL que , são absurdamente excessivos , vou passar a explicar:
  14. O vosso site contém erros os quais se pode injetar códigos e assim penetrar na base de dados ( no vosso caso a base de dados é ctoryah15913com16673_matematica ).
  15. Podia ter usado as vossas informações de forma maliciosa (consigo ver utilizadores , nomes , emails e passes) , no entanto , eu uso bastante o vosso site e agradeço a ajuda que me dão, e por isso estou também a ajudar-vos contra futuros hackers!
  16. Aqui estão as provas que precisam:
  17. http://prnt.sc/eocmdr
  18. http://prnt.sc/eocmk3
  19. http://prnt.sc/eocmrt
  20.  
  21. Cumprimentos , David Capela! ( espero uma resposta )
  22.  
  23. David Capela <david.bc2.24@gmail.com>
  24. 26/03
  25.  
  26. para Vitor
  27. Os erros encontrados são de origem SQL , todas as hiperligações deste tipo: "ulas-resumo.php?ano=12" que acabam em .php?ano= contêm os erros referidos , passo a exemplo este erro que aparece quando se "toca" numa vunerabilidade http://www.matematica.pt/aulas-exercicios.php?id=%2754 (abram este link )
  28. Contudo , vocês têm uma encriptaçao hash em BCRYPT para as passwords , o que signigica que podem estar descansados que as passwords estão bem seguras para hackers normais.
  29. Recomendo vivamente a mudarem o formato(links) das páginas e subpáginas do vosso site de modo a melhorar a segurança cibernética.
  30. Fiz um pequeno scan , e podem estar descansados que apenas eu tive conhecimento desta grande vunerabilidade.
  31.  
  32.  
  33. Cumprimentos , David Capela , vosso aluno.
  34.  
  35.  
  36. David Capela <david.bc2.24@gmail.com>
  37. 26/03
  38.  
  39. para Vitor
  40. Se necessitar mais ajuda , posso corresponder.
  41.  
  42.  
  43. Vitor Nunes <vitor@matematica.pt>
  44. 26/03
  45.  
  46. para mim
  47. Olá David,
  48.  
  49. Mais uma vez, obrigado pelo reparo.
  50. Apesar de ser professor de matemática, sou um auto-didacta e percebo alguma coisa de SQL e de programação em PHP. Fiz o site todo sozinho, consultando alguma ajuda nos forums da especialidade. Toda a construção do site pode ser acompanhada a partir do seguinte link:
  51.  
  52. http://www.matematica.pt/util/historial.php
  53.  
  54. No entanto, não entendo, como é que a partir do erro referido é possível ter acesso à Base de Dados.
  55. O erro que me mostra, aparece porque o ID solicitado não está presente na Base de Dados. Mas como é que isso constitui uma vulnerabilidade e como é que a partir daí conseguiu ter acesso ao nome da BD, à sua estrutura e ao tipo de encriptação que utilizo nas passwords?
  56.  
  57. Agradeço o esclarecimento, para eu poder efectuar a correcção o mais rapidamente possível,
  58. Se preferir podemos falar por Skype ou através de outro meio.
  59.  
  60. Cumprimentos,
  61. Vitor Nunes
  62.  
  63.  
  64. David Capela <david.bc2.24@gmail.com>
  65. 26/03
  66.  
  67. para Vitor
  68. Sim claro , se quiser me adicionar no skype: "mudeii"
  69.  
  70.  
  71. Vitor Nunes <vitor@matematica.pt>
  72. 27/03
  73.  
  74. para mim
  75. Olá novamente,
  76.  
  77. Qual é então a melhor hora para falarmos David?
  78. Já agora, por curiosidade, como refere que costuma utilizar o site, estou a falar com um aluno ou um adulto?
  79.  
  80. Cumprimentos,
  81. Vitor Nunes
  82.  
  83.  
  84. David Capela <david.bc2.24@gmail.com>
  85. 27/03
  86.  
  87. para Vitor
  88. Boa tarde professor,
  89.  
  90. Sou um mero aluno do 12º ano com 18 anos do Porto , apenas tenho algum conhecimento em "pentesting" (penetração de base de dados e scaneamento de vulnerabilidades em sites) nomeadamente em SQL Injection e Cross Site Script . Utilizo o site para estudar para os testes de matemática e , admito, dá uma ajuda fundamental pois tenho bastantes dificuldades a matemática , visto que necessito dela para entrar em engenharia informática , no entanto , não tenho qualquer intenção maliciosa , porque aliás gostava de tirar o mestrado em segurança cibernética e fazer do trabalho de prevenir hackers o meu futuro . E a melhor maneira de os prevenir é ser um. E portanto, como o site me ajudou e ainda ajuda no combate às minhas dificuldades em matematica, penso que é do meu dever ajudar quem me ajuda!
  91.  
  92. Bem , por conveniência , preferia , se pudesse , falar sobre o assunto neste próximo fim-de-semana , no domingo a qualquer hora , pois esta semana estou com o calendário de testes ocupado e necessito bastante de estudar , pois a faculdade está à porta.
  93.  
  94. Apesar de ser uma decisão difícil , aconselho-o a manter o site em quarentena enquanto não resolve este bug, pois pode comprometer TODAS as informações dos utilizadores (como mostrei no print)
  95. Estou disposto a colaborar com a resolução de modo a encontrar uma solução para impedir que seja possível utilizar o método de injeção de códigos na BD.
  96.  
  97. Os meus sinceros cumprimentos , David Capela!
  98.  
  99.  
  100. Vitor Nunes <vitor@matematica.pt>
  101. 27/03
  102.  
  103. para mim
  104. Olá David,
  105.  
  106. Muito obrigado pelos conselhos.
  107.  
  108. Estou familiarizado com o SQL Injection e penso que sei como resolver o problema.
  109. Amanhã vou alterar os scripts PHP de modo a reforçar a segurança.
  110. Depois no fim de semana, ou quando tiver mais disponibilidade podemos falar sobre o assunto.
  111. Entretanto, existem partes do site (nomeadamente as aulas do 12º ano com os exercícios resolvidos em vídeo) que só podem ser acedidas por utilizadores com uma conta criada. Se tiver interesse, posso-lhe criar uma conta gratuita.
  112.  
  113. Boa sorte para os testes!
  114.  
  115.  
  116. David Capela <david.bc2.24@gmail.com>
  117. 27/03
  118.  
  119. para Vitor
  120. Boa noite professor ,
  121. Como disse , fiz isto com um espírito diferente , não sou mais que ninguém para ter a conta gratuita, mas muito obrigado pela generosidade. Fico bastante feliz em saber que pude ser útil e ajudar o site e nomeadamente a si , professor. Podemos falar quando tiver disponibilidade e prometo dar o meu melhor para o ajudar!
  122. Continue com o bom trabalho que está a fazer, está se a refletir em muitos alunos, e sinto que vai chegar longe com a plataforma!
  123.  
  124. Cumprimentos , do seu fiel aluno , David Capela!
  125.  
  126.  
  127. Vitor Nunes <vitor@matematica.pt>
  128. 29/03
  129.  
  130. para mim
  131. Olá David,
  132.  
  133. Penso que já resolvi o problema.
  134. Estive ontem a alterar o código PHP de acesso às Bases de Dados e penso que neste momento já não é possível ter acesso ao conteúdo da BD.
  135.  
  136. Quando tiveres um bocado de tempo, por favor verifica se as vulnerabilidades ficaram resolvidas.
  137.  
  138. Desde já obrigado,
  139. Vitor Nunes
  140.  
  141.  
  142. David Capela <david.bc2.24@gmail.com>
  143. 30/03
  144.  
  145. para Vitor
  146. Boa noite professor,
  147.  
  148. Testei todos os métodos e todos os meus conhecimentos em SQL Injection e posso afirmar , felizmente, que o erro não está mais injetável, todas as brechas de segurança foram removidas!!
  149. Fiz também um scan no seu site para outros possíveis erros , assim como Cross Site Script e também deu negativo.
  150. Bem , fico bastante agradado por ter avisado do erro antes de acontecer uma tragédia pior , como disse , pretendo que o meu trabalho futuro seja fazer com que o dos hackers seja impedido , por isso , acho que foi uma situação em que ambos saímos a ganhar.
  151. Mais uma vez , muitos parabéns pela plataforma que criou!
  152.  
  153. Cumprimentos,
  154. David Capela
  155.  
  156.  
  157. Vitor Nunes
  158. 31/03
  159.  
  160. para mim
  161. Olá David,
  162.  
  163. Agradeço imenso por me ter chamado à atenção e ainda bem que os erros desapareceram.
  164.  
  165. Nem sequer foi necessário muito trabalho, bastou "perder" uma manhã de trabalho para alterar a forma como as páginas estavam a utilizar a informação enviada por GET para efetuar uma consulta às Bases de Dados. Daqui para a frente tentarei ter mais cuidado na minha forma de programar.
  166.  
  167. Espero que consigas atingir os teus planos e se precisares de alguma ajuda da minha parte estou disponível.
  168.  
  169. Cumprimentos,
  170. Vitor Nunes
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!