sábado, abril 27, 2013

Time-Based Blind SQL Injection en Yahoo!

Las técnicas de Time-Based Blind SQL Injection me tuvieron enganchado largo tiempo. La posibilidad de poder extraer datos de una consulta generando retardos de tiempo en las respuestas True es algo que me enamoraba.

Herramientas como SQL Ninja, las Time-Based Blind SQL Injection using Heavy Queries - de las que hablé en mi primera Defcon -, el exploit de Solar Empire, el Deep Blind SQL Injection o Marathon Tool, llenaron muchos de los posts de este blog durante mucho tiempo. Me encantaba, y de hecho terminaron por convertirse en el libro de Hacking de Aplicaciones Web: SQL Injection que escribimos entre Enrique Rando/**/AND/**/Chema Alonso.

Tanto tiempo le dediqué que Palako y yo estuvimos dando la charla de seguridad en la Yahoo! Security Week hablando largo tiempo de estas cosas - hasta jugándonos el pellejo con algunas demos de lo más "on the blade" posible -, de cómo es posible extraer grandes fuentes de información, incluido ficheros con técnicas de Remote Downloading Files usando los retardos de tiempo. Así que estoy seguro que los equipos de seguridad de Yahoo! sabían de esto, porque los Paranoids otra cosa no, pero de esto deben saber sí o sí.

Dicho esto, sorprende que Yahoo! se haya comido un par de Time-Based Blind SQL Injection en el lugar más típico, en parámetros numéricos de ficheros PHP, algo que los número tres que se prueba en cualquier auditoría de seguridad que cuenta con PHP de por medio. Este es el lugar donde se encontró:
http://tw.ysm.emarketing.yahoo.com/soeasy/index.php?p=2&scId=113; select SLEEP(5)--
Basta con lanzarle un Havij a cualquier sitio de estas características para que la auditoría termine justo ahí. Así que... esto tiene pinta de ser otra web que salió a producción sin auditoría previa.

Saludos Malignos!

3 comentarios:

Matix dijo...

interesante... soy de argentina y quise obtener justamente ese libro pero los únicos que lo "venden" aqui en argentina "root-secure" no me dieron bola :( Saludos maligno :)

Unknown dijo...

matix, yo compre dos libros ahi y posta me dieron "bola" al toke, un abrazo

Unknown dijo...

Buen dia aca en México, he leido algunos post tuyos son muy buenos. Solo que los colores de tu sitio me dejan un poco ciego y eso que el brillo esta bajo.

Saludos.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares