22/2/2010
Sid z 7Safe sklecił całkiem rzeczowy poradnik opisujący techniki ataku na webaplikacje wykorzystujące bazy danych Oracle.
Hackowanie Oracle z poziomu webaplikacji
Większość ze znanych dziś technik ataku zakłada, że atakujący uzyskał dostęp do bazy z poziomu dowolnego klienta SQL. Jak pisze twórca poradnika:
Sposoby wyprowadzania danych z bazy za pomocą SQL injection są powszechnie znane i dość dobrze udokumentowane. Niewiele jednak mówi się o metodach podniesienia uprawnień użytkownika i technikach pozwalających na odpalanie komend systemowych z poziomu samej webaplikacji, a nie klienta SQL-owego. Właśnie temu postanowiłem poświęcić ten podręcznik.
Należy pamiętać, że w Oracle nie jest to takie proste, ponieważ w przeciwieństwie do MS-SQL, Oracle nie posiada wsparcia dla zagnieżdzonych zapytań i funkcji xp_cmdshell ułatwiającej odpalanie poleceń systemu operacyjnego.
Poradnik można ściągnąć stąd [PDF].
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
no to ładnie ^^
może po prostu programowo wyłączyć wszystkie zapytania w stylu “OR 1 = 1” i po kłopocie ;]
tak sobie myślę, czy ktoś kto używa ataków SQL Inject~ jest ściagany/poszukiwany, aby ponieść konsekwencję? Dużo się słyszy, że “haker z chin jest szukany”, ale nigdy nie widziałem, żeby np. tego rumuna od Intela, kasperskiego itp. ścigali. Jak to z tym jest?
@Snejk:
jak ktos napsoci, to nie ma znaczenia, czy uzyl SQL injection, emacsa, czy XSS. z kolei jesli wlamales sie za pomoca najbardziej wyszukanej i mrocznej techniki na serwer mleczarni i skopiowales sobie plik z konfiguracja dojarki, to raczej nikogo to nie obejdzie.
liczy sie skutek, nie narzedzie.
@ged_: Genialne porównanie ;]
@Snejk: Ścigany jest każdy nieautoryzowany dostęp do czyichś danych, z uwzględnieniem, tak jak zauważył ged_, swojego rodzaju “szkodliwości społecznej”.
dzięki za odpowiedź ;)
A co jeśli pomylę się i wpiszę jako swoje imię ” or 1=1–? Czy to już próba przełamania zabezpieczeń czy “zamyślenie się”? ;-)
> Oracle nie posiada wsparcia dla zagnieżdzonych zapytań
que? O ile wiem, subselecty w oracle jak najbardziej działają, co zresztą jest zademonstrowane w pierwszym przykładzie z podlinkowanego dokumentu.
co oczywiście nie przeczy tezie, że ms sql zwykle jest bardziej “dostępny” niż oracle.
Sid w podobnych tematach – Oracle – wypowiadał się na DefConie 17 – http://defcon.org/html/links/dc-archives/dc-17-archive.html#Siddharth – jakby ktoś chciał materiałów audio/video. Warto też zapoznać się z odkryciem Davida Litchfielda z Black Hata DC 2010 – http://www.blackhat.com/html/bh-dc-10/bh-dc-10-archives.html#Litchfield – na Oracle 11g r2. Podsuwał on pomysł, że dzięki temu bugowi, ktoś kto ma uprawnienia do oglądania w bazie informacji poufnych mógłby się eskalować do oglądania informacji ściśle tajnych. A poza tym kto w Polsce ma Oracle? :) Jakieś urzędy? Jak szukać, nie będąc insiderem? Gdzie znaleźć tematyczne historyczne przetargi? Jedyne, co niedawno słyszałem, to że polska policja zamierza odmigrować z platformy Oracle (rejestr kryminalny) na coś autorskiego.
@Tomasz Kowalczyk: Warto dodać, że jest to czyn zabroniony, ścigany na wniosek pokrzywdzonego (Art. 267 §5 KK), a nie z urzędu, więc to, czy rozpoczęte zostanie postępowanie, zależy od firmy, która “ucierpiała”. Jeśli nie ma szkód – możliwe że firma potraktuje to jako wskazówkę odn. bezpieczeństwa, aczkolwiek niektóre przykłady z przeszłości pokazują, że nie zawsze tak jest :/
O widzisz, fajnie, że nawet wykładnia prawna się znalazła ;]
@m:
W pytę rządówek ma Orakla. CEPiK, ARiMR, PWPW, …
Się robiło, się wie.
Jak to moja była sąsiadka z xięgowości mawia… mam to w Oracalu :P Ma też alledrogo i nie tylko… tylko cicho, bo znów przyjdzie jakieś pismo o namawianiu do zła ;P