21:08
22/2/2010

Sid z 7Safe sklecił całkiem rzeczowy poradnik opisujący techniki ataku na webaplikacje wykorzystujące bazy danych Oracle.

Hackowanie Oracle z poziomu webaplikacji

Większość ze znanych dziś technik ataku zakłada, że atakujący uzyskał dostęp do bazy z poziomu dowolnego klienta SQL. Jak pisze twórca poradnika:

Sposoby wyprowadzania danych z bazy za pomocą SQL injection są powszechnie znane i dość dobrze udokumentowane. Niewiele jednak mówi się o metodach podniesienia uprawnień użytkownika i technikach pozwalających na odpalanie komend systemowych z poziomu samej webaplikacji, a nie klienta SQL-owego. Właśnie temu postanowiłem poświęcić ten podręcznik.

Należy pamiętać, że w Oracle nie jest to takie proste, ponieważ w przeciwieństwie do MS-SQL, Oracle nie posiada wsparcia dla zagnieżdzonych zapytań i funkcji xp_cmdshell ułatwiającej odpalanie poleceń systemu operacyjnego.

Poradnik można ściągnąć stąd [PDF].

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. no to ładnie ^^

  2. może po prostu programowo wyłączyć wszystkie zapytania w stylu “OR 1 = 1” i po kłopocie ;]

  3. tak sobie myślę, czy ktoś kto używa ataków SQL Inject~ jest ściagany/poszukiwany, aby ponieść konsekwencję? Dużo się słyszy, że “haker z chin jest szukany”, ale nigdy nie widziałem, żeby np. tego rumuna od Intela, kasperskiego itp. ścigali. Jak to z tym jest?

  4. @Snejk:
    jak ktos napsoci, to nie ma znaczenia, czy uzyl SQL injection, emacsa, czy XSS. z kolei jesli wlamales sie za pomoca najbardziej wyszukanej i mrocznej techniki na serwer mleczarni i skopiowales sobie plik z konfiguracja dojarki, to raczej nikogo to nie obejdzie.
    liczy sie skutek, nie narzedzie.

  5. @ged_: Genialne porównanie ;]

    @Snejk: Ścigany jest każdy nieautoryzowany dostęp do czyichś danych, z uwzględnieniem, tak jak zauważył ged_, swojego rodzaju “szkodliwości społecznej”.

  6. dzięki za odpowiedź ;)

  7. A co jeśli pomylę się i wpiszę jako swoje imię ” or 1=1–? Czy to już próba przełamania zabezpieczeń czy “zamyślenie się”? ;-)

  8. > Oracle nie posiada wsparcia dla zagnieżdzonych zapytań

    que? O ile wiem, subselecty w oracle jak najbardziej działają, co zresztą jest zademonstrowane w pierwszym przykładzie z podlinkowanego dokumentu.

    co oczywiście nie przeczy tezie, że ms sql zwykle jest bardziej “dostępny” niż oracle.

  9. Sid w podobnych tematach – Oracle – wypowiadał się na DefConie 17 – http://defcon.org/html/links/dc-archives/dc-17-archive.html#Siddharth – jakby ktoś chciał materiałów audio/video. Warto też zapoznać się z odkryciem Davida Litchfielda z Black Hata DC 2010 – http://www.blackhat.com/html/bh-dc-10/bh-dc-10-archives.html#Litchfield – na Oracle 11g r2. Podsuwał on pomysł, że dzięki temu bugowi, ktoś kto ma uprawnienia do oglądania w bazie informacji poufnych mógłby się eskalować do oglądania informacji ściśle tajnych. A poza tym kto w Polsce ma Oracle? :) Jakieś urzędy? Jak szukać, nie będąc insiderem? Gdzie znaleźć tematyczne historyczne przetargi? Jedyne, co niedawno słyszałem, to że polska policja zamierza odmigrować z platformy Oracle (rejestr kryminalny) na coś autorskiego.

  10. @Tomasz Kowalczyk: Warto dodać, że jest to czyn zabroniony, ścigany na wniosek pokrzywdzonego (Art. 267 §5 KK), a nie z urzędu, więc to, czy rozpoczęte zostanie postępowanie, zależy od firmy, która “ucierpiała”. Jeśli nie ma szkód – możliwe że firma potraktuje to jako wskazówkę odn. bezpieczeństwa, aczkolwiek niektóre przykłady z przeszłości pokazują, że nie zawsze tak jest :/

  11. O widzisz, fajnie, że nawet wykładnia prawna się znalazła ;]

  12. @m:

    W pytę rządówek ma Orakla. CEPiK, ARiMR, PWPW, …
    Się robiło, się wie.

  13. Jak to moja była sąsiadka z xięgowości mawia… mam to w Oracalu :P Ma też alledrogo i nie tylko… tylko cicho, bo znów przyjdzie jakieś pismo o namawianiu do zła ;P

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: