24/4/2010
Pod koniec marca, rodzimy bezpiecznik, porkythepig opublikował ciekawy raport poświęcony zautomatyzowanym atakom SQL injection i niedostatecznej ochronie przed “złośliwymi” crawlerami.
Atak robotów
porkythepig w swojej publikacji opisuje jak za pomocą “Google Hacking” i odrobiny “magii” znaleźć cele oraz uniknąć wpadnięcia w antymalware’owe filtry Google.
Celami stworzonego przez porkythepig bota stały się m.in. serwery firmy Lockhead Martin, skrzynki pocztowe pracowników NATO zawierające numery kart kredytowych i kilkanaście innych rządowych serwisów…
Jeśli tylko macie trochęduuużo wolnego czasu i nie straszny wam angielski, przeczytajcie publikację w całości, opisy pracy nad tworzeniem “złośliwego” bota zdradza wiele ciekawych informacji.
mam nadzieje, ze ten eksperyment nie skonczy sie dla autora sankcjami karnymi — grzebanie przy .gov / .mil jest troche lekkomyslne…
propsy za research, ale tego typu boty polecam pisac w pythonie, zamiast w c++ :)
Ja tam nie zwalidowałem jego systemu etycznego przez ten post na listę full disclosure, przed niezawisły sąd go! ;)
Jest nawet nasz, Polski wkład w te badania. Uzyskał pełen dostęp do 95 baz danych należących do 3net.pl, najpierw przez ich własną aplikacje, a po jej załataniu przez aplikację jednego z ich klientów.
@jurek ogórek: z tego papera:
“Although one must point that the C++ isn’t the best
choice if we want to code a web crawling automated bot – looking backward
from the whole coding time perspective if I had the choice today and had to
write it from the scratch – I would have chosen Python blindfolded (at least
for this kind of robot).
“
“Miscleneaous vulnerable systems:
…
– One of Polish commercial email/web hosting company database,
…”
Ktoś wie który?
@Zen Vantalye: “Ktoś wie który?”
Ten który hostuje stronę “Tour De Pologne”.
“During the final month-long runtime it spotted a minor vulnerable website’s database, provided for Polish barbers industry. After enumerating all the other accessible databases on that vulnerable MSSQL server using same db-user account as for the barbers portal login interface, amazingly, it came out that the server is the VERY SAME db-server belonging to the previous major Polish hosting company, hosting 94 other R/W accessible databases, including for example the biggest Polish international cycling racing event website – “Tour De Pologne”.
Since all the server hosted databases were aministrated and serviced by that single hosting company, all of them were protected by the SAME db-user account, rendering R/W accessible every database hosted there through that single minor barber portal – including WWW/FTP customer account credential database, company financial operations database (customer credit card data), and so on.”
[…] pisaliśmy już jakiś czas temu w kontekście jednego z jego ciekawych projektów — robota szukającego podatności SQL w internecie. Nie jest wykluczone, że dziura na stronie desc.dla.mil została znaleziona właśnie […]