Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Yahoo! SQL injection

2009.02.28. 09:45 | buherator | 11 komment

Unu megint alkotott. Bár úgy tűnik, a támadás nem ad lehetőséget közvetlenül érzékeny felhasználói adatok illetve céges információk kiszivárgására, egy ilyen jellegű kiskapu mindig egy öles lépéssel közelebb visz a rendszer "szíve" felé. A részletekkel jelentkezem, ha megjelennek!

Címkék: yahoo sql injection

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2009.02.28. 14:52:35

Szerintem nem nagy cucc ha valakinek van gépe és sávszélessége arra, hogy Acunetix-el végigszkenneljen néhány nagy nevet, és ha az csilingel, akkor írjon 1-2 queryt rá. De most tényleg. Mert magát a terméket a fejlesztőknek összedobni, az kemény meló. De nem ez...

buherator · http://buhera.blog.hu 2009.02.28. 15:05:19

@zoli20: Senki nem mondta, hogy nagy cucc ilyet találni, de éppen ez a lényeg: egy akkora cégnél, mint a Yahoo!, miért nem jut erőforrás arra, hogy a kiadott termékeken legalább egy automata scant lefuttassanak?

|Z| 2009.03.01. 00:59:49

Mondjuk úgy gyorsabban szoktak fejleszteni és élesbe tenni alkalmazásokat, minthogy az amugyis túlterhelt security csapat leszkennelné azt. Ja, és nem is tudnak róla, hogy az akárhányadik oldal akárhányadik aloldalán új verzió van fent, mert nekik senki sem szólt. Hogy hányszor láttam már ilyet :) de szép is lenne, automata scan, miközben a büfében a vagyok - szerintem a bilibe lóg a kezem.

Az biztos hogy nagyon sok cég még nagyon messze van ettől, és addig nagyon sok wannabe lesz a főoldalon ilyen hírekkel. Mert az a pentester, aki megtalálta a másik 547 hibát majd átverte a szervezeten hogy ki is legyen javítva, az nem kerül főoldalra. Bár nem is szeretne. Na, befejeztem :)

buherator · http://buhera.blog.hu 2009.03.01. 12:23:32

Érzek némi ellentmondást: "de szép is lenne, automata scan, miközben a büfében a vagyok - szerintem a bilibe lóg a kezem." "nem nagy cucc ha valakinek van gépe és sávszélessége arra, hogy Acunetix-el végigszkenneljen néhány nagy nevet," ?

|Z| 2009.03.01. 14:42:51

Az ellentmondás feloldása valahol ott van, hogy:

A román srác bizonyára torrentről szedte a cuccot, míg a cégnek 2 lehetősége van: vagy megfizet egy céget, hogy szkennelje bizonyos időközönként (máris van egy sérülékenységi idő) és elemezzék ki amit találtak, vagy maguknak megveszik és maguk elemzik. Tegyük fel, minderre van pénz paripa posztó (itt már elvérzett a cégek 80%-a). Akkor tegyük fel, találnak egy valós sérülékenységet. Saját tapasztalat, hogy amíg nincs gáz, akár hónapokig is eltarthat, mire kijavítják a hibát és élesbe megy a javítás (ami ténylegesen is megoldja a problémát) - újabb idő a sérülékenység kihasználására.

A lényeg amit mondani akarok: gyakran nem a "nem hozzáértés" a baj (bár a fejlesztő részéről ez nyilvánvalóan baj, dehát őt is csak sürgetik hogy "csak működjön és akkor mehet is a release élesbe"), hanem a folyamatszervezés/határidők/pénz/erőforrás.

Na meg természetesen az arányok, hogy a román srácnak elég egyetlen hibát találnia egy bizonyos időben, míg a szervezetnek minden időben minden hibát javítania kellene -> ezt a kettőt nehéz összemérni.

buherator · http://buhera.blog.hu 2009.03.01. 15:07:04

"folyamatszervezés/határidők/pénz/erőforrás": ne felejtsük el,. hogy a Yahoo-ról van szó, nem a sarki Kft-ről! Ha pedig egy ilyen kaliberű vállalattól sem várhatjuk el, hogy az ilyen pofonegyszerűen detektálható hibák felismerését, akkor szvsz. elég nagy a baj.
A biztonsági vizsgálatok jobb helyen a funkcionális tesztekhez hasonlóan bele kellene hogy simuljanak a fejlesztési folyamatba, így a javítás is sokkal gyorsabb és egyszerűbb lehetne.

Egyébként persze, igazad van: a hibákat kiszúrni könnyű, hibátlan kódot írni szinte lehetetlen - igazságtalan egy játék. De ettől még a figyelemfelkeltésre szükség van.

EQ · http://rycon.hu 2009.03.01. 15:45:43

engem az 1. komment óta az érdekel, hogy honnan veszitek hogy scannerrel találta? csak ennyi érdekelne, nem több.

|Z| 2009.03.01. 18:32:38

@EQ: www.acunetix.com/blog/web-security-articles/sql-injection-sneaks-into-kasperskys-support-website/

Illetve olvastam valahol, hogy a logokból is ez derült ki, de ezt most hirtelen nem találom.

@buherator: teljesen egyetértek mindennel, jobb helyen így kellene lennie.

|Z| 2009.03.01. 18:43:30

Ja, és még1:

news.softpedia.com/news/Several-ESET-NOD32-Websites-Vulnerable-105688.shtml

Ez szerintem azért mókás, mert itt az látszik, hogy a hibás sql query-kről csinált screenshotot. Azért, mert nem akart tovább menni, vagy azért, mert nem is tudta hogy kell, már jó kérdés :)

synapse · http://www.synsecblog.com 2009.03.02. 10:55:21

A secu az olyan mint a levego. Ha van, akkor termeszetes de ha beut a krach akkor kurvahamar hianyozni fog.

egy_egy 2009.03.06. 15:04:04

gyerekek... csak az feltetelezheti hogy acunetix-el vegig lehet szkennelni akar egy icike-picike domeniumot is, fuggetlenul procitol, savszelessegtol, barmitol, aki meg soha nem hasznalta a programot. Az acunetix orakat bibelodik nehany parameteren is. Na es persze fel sem ismeri szkennelendo parameternek a kaspersky esteteben levot (xyz.com/123456 ) .Es persze rengeteg nyomot hagy a szerver log file-jaba, ami nem tul szerencses. Tehat en nem ajanlom senkinek hasznalatat. Amugy az acunetix szep reklamot csinal maganak mas munkajan.