VOV's world

Wish you all success!

@knowledge: Always escape inputs

# Exploit Title: CaptchaSecurityImages.php Denial Of Service
# Author: cp77fk4r | empty0page[SHIFT+2]gmail.com | www.DigitalWhisper.co.il
# Software Link: http://www.white-hat-web-design.co.uk/articles/php-captcha.php
#
##[Denial Of Service]
(OWASP: The Denial of Service (DoS) attack is focused on making unavailable a resource (site, application, server) for the purpose it was designed. There are many ways to make a service unavailable for legitimate users by manipulating network packets, programming, logical, or resources handling vulnerabilities, among others. If a service receives a very large number of requests, it may stop providing service to legitimate users. In the same way, a service may stop if a programming vulnerability is exploited, or the way the service handles resources used by it.)
#
#Exploit:
/CaptchaSecurityImages.php?width=13333337&height=13333337&characters=13333337
#
#
The vuln code is: (lines 73-75)
#
$width = isset($_GET['width']) ? $_GET['width'] : ‘120′;
$height = isset($_GET['height']) ? $_GET['height'] : ‘40′;
$characters = isset($_GET['characters']) && $_GET['characters'] > 1 ? $_GET['characters'] : ‘6′;
#
To fix it- delete all the “$_GET[x]” strings and make it constant, like this:
#
$width=100;
$height=40;
$characters=5;
#
#
#[e0f]

Việc xử lý với chuỗi thời gian thường hay gặp trong các chương trình đồng bộ, thống kê, schedule tasks. Vấn đề tưởng chừng như đơn giản khi sử dụng lớp DateTime, tuy nhiên lớp này lại tái hiện nguyên chuẩn thời gian trên hệ thống thời gian hiện tại của hệ điều hành.

Ví dụ với chuỗi ngày “25/02/2010″ ghi trong DB, khi cần đọc, hệ thống dùng chuẩn vi-VN sẽ thông báo đó là ngày 25 tháng 2, tuy nhiên với chuẩn en-US lại là ngày 2 tháng 25, dẫn đến System.FormatException. Sẽ là tai hoạ nếu đây là hệ thống backup hoặc tính lương nhân viên… Hoàn toàn khác với PHP, quy về một chuẩn format chung mặc định là Unix timestamp.

Vì vậy mới có trường hợp coder kêu đúng nhưng khách hàng lại báo sai.

Để khắc phục, các hàm Parse hoặc lưu DateTime trong DB hoặc khi nhập DateTime trong DateTimePicker không nên để mặc định mà cần dùng chung một chuẩn Format riêng (Custom). Nghĩa là khi sử dụng chuẩn vi-VN thì luôn lưu trữ, lấy thông tin theo kiểu vi-VN này (25/02/2010) và để dạng custom của nó là “dd/MM/yyyy”. Cho dù hệ thống hiện tại sử dụng định dạng gì đi nữa thì kết quả vẫn thể hiện đúng, nó vẫn hiểu đâu là ngày, đâu là tháng.

IFormatProvider culture = new CultureInfo(“vi-VN”, true);
string timeDayFormat = “dd/MM/yyyy”;
string timeHourFormat = “HH:mm:ss”;
string timeDayHourFormat = “dd/MM/yyyy HH:mm:ss”;

DateTime d = DateTime.ParseExact(“25/02/2010″, timeDateFormat, culture)
Console.WriteLine(d.toString());

// output
// Đối với hệ thống sử dụng en-US:
// 02/25/2010
// Đối với hệ thống sử dụng vi-VN:
// 25/02/2010

Tham khảo (trích msdn):

Trong nhà có cái đồ bóp,  thế là sáng dậy bóp 2 cái, tối ngủ bóp 2 cái, hay trước khi làm gì cũng lấy tay bóp bóp 2 cái.

24g ngày 16-1. Lúc này, điều quan trọng nhất là bảo đảm an toàn tuyệt đối cho con tin.

00g18 ngày 17-1 lực lượng đặc công đã tràn sâu vào nhà nghỉ nhưng vẫn đang tìm phương án giữ an toàn cho con tin.

Chủ nhà nghỉ cho biết, căn phòng tên Minh sử dụng là phòng nghỉ bình dân nên không có điện thoại cũng như internet…

Sau 30 phút tắt đèn. Đến 0g 35 phút, đối tượng bật đèn quan sát. Thế nhưng, các lực lượng chức năng đã cố tình để lại một hiện trường vắng lặng. Vẫn chưa có quyết định cuối cùng.

TP Huế dường như không ngủ, mọi người thức để chờ đợi. Dù nhiều ngả đường đã bị chặn nhưng người dân vẫn tụ tập và thức cùng lực lượng giải cứu…

Theo bài báo thì đối tượng đó có điện thoại, nếu có đồng bọn hoặc điện thoại hắn có 2,5G/3G thì chắc chắn tính chất bảo mật của phương án của các chú công an phe ta sẽ không còn. Cái này gọi là vi phạm quy tắc ATTT đây hehehe