Anatomija 'SQL injection' napada

Vesti, 09.03.2010, 12:48 PM

SQL injection postaje možda najrasprostranjeniji metod za nanošenje štete web aplikacijama, zahvaljujući relativnoj jednostavnosti i visokom stepenu efikasnosti. Ne dešava se tako često da laike interesuje kako ovakva vrsta napada funkcioniše, ali poznati stručnjaci baš ovu činjenicu i imaju u vidu.

Rafal Los, viši stručnjak za bezbednost u HP, pokazao je kako je jednostavno izvođenje ovakvih napada, osvrnuvši se u svom izlaganju i na psihologiju koja stoji iza njihove uspešnosti. Govoreći grupi rukovodilaca o problemima bezbednosti web aplikacija, Los je uočio njihov skepticizam u vezi obima ranjivosti njihovih kodova. Zbog toga je odlučio da im demonstrira problem.

„Često je iskustvo najbolji učitelj - priželjkivao sam da mi sumnjičavi Thomases zatraži da pokažem kako ovaj problem izgleda na njihovim sajtovima... i bez molbe ovo je bilo neophodno. Kolega iz zadnjeg reda vikao je: “Dobro, ako je ovaj problem tako rasprostranjen, da vidimo kako izgleda na našim sajtovima“. Ostavio sam auto-pilota i prešao u oprezni napadački mod,“ napisao je Los na svom blogu opisujući napad.

Posle letimičnog pogleda na izabrani sajt, Los je uočio grešku koja je bila dokaz da je neko drugi već napao sajt. Zato je on onda obeležio kraj URL-a, čime je izazvao SQL naredbu za neizvršenje i generisanje poruke o grešci tako da je postalo jasno u čemu je bio problem. I taj podatak je sasvim bio dovoljan Losu. Zatim je dodao " ' OR '1' = '1 " na kraj orginalnog URL-a.

SQL injection

„Najpre, očigledna je greška u bazi podataka, što znači da ja nisam prvi koji je hakovao sajt, neko je pre mene ovde napravio zbrku. Na sreću, oni koji su me pretekli pokvarili su ga pre nego su uspeli da ukradu sve podatke. Zatim, generisanje greške - nadam se da je to samo po sebi jasno... Ja sam jednostavno prouzrokovao da SQL naredba bude pogrešna i neizvršena, i SQL me je ljubazno obavestio o tome,“ piše Los. „I najzad, 'OR'1'='1 pridodata naredba je radila zato što nije izazivala grešku... zašto? Zato što je 1=1 tačan iskaz i baza podataka neće izbaciti grešku ako je rezultat tačan!“

Sa dozvolom vlasnika sajta, Los je iskoristio ranjivost i bio u mogućnosti da prekopira celokupan sadržaj baze podataka na svoj laptop. Pregledom tabela, ustanovio je da je baza podataka ustvari već bila prethodno kompromitovana i da je napadač ubacio nizove podataka koji će dostavljati štetni program sa sajta. Sajt sada pokušava da Zeus Trojanca dostavi posetiocima.


---------

Vest preuzeta sa:

Threat post


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Huaweijevi najveći dobavljači obustavljaju saradnju sa kineskim tehnološkim gigantom pošto je Trampova administracija prošle nedelje uvela nova ... Dalje

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Pošto se podrška za Windows 7 ukida u januaru 2020. godine, u Microsoftu očekuju se da će sve više kompanija i državnih institucija iz celog sv... Dalje

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

Nemačka kompanija koja stoji iza TeamViewera, planetarno popularnog softvera koji korisnicima omogućava daljinski pristup računarima, navodno je ha... Dalje