21:08
22/2/2010

Sid z 7Safe sklecił całkiem rzeczowy poradnik opisujący techniki ataku na webaplikacje wykorzystujące bazy danych Oracle.

Hackowanie Oracle z poziomu webaplikacji

Większość ze znanych dziś technik ataku zakłada, że atakujący uzyskał dostęp do bazy z poziomu dowolnego klienta SQL. Jak pisze twórca poradnika:

Sposoby wyprowadzania danych z bazy za pomocą SQL injection są powszechnie znane i dość dobrze udokumentowane. Niewiele jednak mówi się o metodach podniesienia uprawnień użytkownika i technikach pozwalających na odpalanie komend systemowych z poziomu samej webaplikacji, a nie klienta SQL-owego. Właśnie temu postanowiłem poświęcić ten podręcznik.

Należy pamiętać, że w Oracle nie jest to takie proste, ponieważ w przeciwieństwie do MS-SQL, Oracle nie posiada wsparcia dla zagnieżdzonych zapytań i funkcji xp_cmdshell ułatwiającej odpalanie poleceń systemu operacyjnego.

Poradnik można ściągnąć stąd [PDF].


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. no to ładnie ^^

  2. może po prostu programowo wyłączyć wszystkie zapytania w stylu “OR 1 = 1” i po kłopocie ;]

  3. tak sobie myślę, czy ktoś kto używa ataków SQL Inject~ jest ściagany/poszukiwany, aby ponieść konsekwencję? Dużo się słyszy, że “haker z chin jest szukany”, ale nigdy nie widziałem, żeby np. tego rumuna od Intela, kasperskiego itp. ścigali. Jak to z tym jest?

  4. @Snejk:
    jak ktos napsoci, to nie ma znaczenia, czy uzyl SQL injection, emacsa, czy XSS. z kolei jesli wlamales sie za pomoca najbardziej wyszukanej i mrocznej techniki na serwer mleczarni i skopiowales sobie plik z konfiguracja dojarki, to raczej nikogo to nie obejdzie.
    liczy sie skutek, nie narzedzie.

  5. @ged_: Genialne porównanie ;]

    @Snejk: Ścigany jest każdy nieautoryzowany dostęp do czyichś danych, z uwzględnieniem, tak jak zauważył ged_, swojego rodzaju “szkodliwości społecznej”.

  6. dzięki za odpowiedź ;)

  7. A co jeśli pomylę się i wpiszę jako swoje imię ” or 1=1–? Czy to już próba przełamania zabezpieczeń czy “zamyślenie się”? ;-)

  8. > Oracle nie posiada wsparcia dla zagnieżdzonych zapytań

    que? O ile wiem, subselecty w oracle jak najbardziej działają, co zresztą jest zademonstrowane w pierwszym przykładzie z podlinkowanego dokumentu.

    co oczywiście nie przeczy tezie, że ms sql zwykle jest bardziej “dostępny” niż oracle.

  9. Sid w podobnych tematach – Oracle – wypowiadał się na DefConie 17 – http://defcon.org/html/links/dc-archives/dc-17-archive.html#Siddharth – jakby ktoś chciał materiałów audio/video. Warto też zapoznać się z odkryciem Davida Litchfielda z Black Hata DC 2010 – http://www.blackhat.com/html/bh-dc-10/bh-dc-10-archives.html#Litchfield – na Oracle 11g r2. Podsuwał on pomysł, że dzięki temu bugowi, ktoś kto ma uprawnienia do oglądania w bazie informacji poufnych mógłby się eskalować do oglądania informacji ściśle tajnych. A poza tym kto w Polsce ma Oracle? :) Jakieś urzędy? Jak szukać, nie będąc insiderem? Gdzie znaleźć tematyczne historyczne przetargi? Jedyne, co niedawno słyszałem, to że polska policja zamierza odmigrować z platformy Oracle (rejestr kryminalny) na coś autorskiego.

  10. @Tomasz Kowalczyk: Warto dodać, że jest to czyn zabroniony, ścigany na wniosek pokrzywdzonego (Art. 267 §5 KK), a nie z urzędu, więc to, czy rozpoczęte zostanie postępowanie, zależy od firmy, która “ucierpiała”. Jeśli nie ma szkód – możliwe że firma potraktuje to jako wskazówkę odn. bezpieczeństwa, aczkolwiek niektóre przykłady z przeszłości pokazują, że nie zawsze tak jest :/

  11. O widzisz, fajnie, że nawet wykładnia prawna się znalazła ;]

  12. @m:

    W pytę rządówek ma Orakla. CEPiK, ARiMR, PWPW, …
    Się robiło, się wie.

  13. Jak to moja była sąsiadka z xięgowości mawia… mam to w Oracalu :P Ma też alledrogo i nie tylko… tylko cicho, bo znów przyjdzie jakieś pismo o namawianiu do zła ;P

Odpowiadasz na komentarz Tomasz Kowalczyk

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: