jueves, enero 14, 2010

Blind SQL Injection en la web del US Army

Me sigue maravillando que aun, organismos como el Ejercito de los Estados Unidos de América, no se gasten la pasta necesaria para que le hagan una auditoría de seguridad. ¿Es que no le ven el pelígro?.

En fin, nos va a servir para explicar, al estilo COCO que es un TRUE y que es un FALSE en un ataque de Blind SQL Injection.

Hola amigos... esto es un TRUE. Como véis, tras inyectar algo que siempre es TRUE como 1=1, los resultados de la página no se han visto alterados.


Figura 1: Un TRUE como un Misil

Y esto amigos es un FALSE. En los resultados se puede ver que cuando se le inyecta algo que siempre es FALSE, como 1=2, la página se modifica y no devuelve ningún resultado.


Figura 2: Un FALSE como un F18

Una vez que tienes un sistema para reconocer respuestas Sí y No el resto es jugar a hacer las preguntas adecuadas para sacar todos los datos de las bases de datos.

Eso, además, si la has cagado en condiciones, permitirá a los atacantes sacar el usuario y la contraseña. Pero para ello las passwords tienen que estar en texto plano, no nos hagas utilizar la nube (no sabía como hablar de la nube en este blog) para crackear los hashes.

En fin, que parece que el grupo de este blog, se han cepillado el website del gobierno americano como dios manda. Con dos cojones y un palíto. Obama, esto sí que es un fallo de los sistemas de seguridad.

Saludos Malignos!

10 comentarios:

  1. Viniendo de USA, que es tan militarista y cuna de gigantes de la tecnología, parece un poco irónico, es de entender que lo del cyberwarfare tendría que gustarles, pero se ve que donde estén dos buenos misilacos...

    ResponderEliminar
  2. ¡Qué duro eres, Chema! Si, total, esto del SQL injection es prácticamente un zero day.

    Seguramente, esta web la habrá hecho el mismo que la del club de fans del gobernador de California }:-D

    En fin, que en todas partes cuecen habas o fast food...

    Saludos

    ResponderEliminar
  3. ¿Los de ese blog quieren ir a la carcel sin pasar por la casilla de salida?

    ResponderEliminar
  4. La verdad es que los tienen bien puestos...

    Newlog

    ResponderEliminar
  5. @Thor, no, por eso lo han publicado en baywords: http://baywords.com/about/

    ResponderEliminar
  6. As long as you don’t break any Swedish laws in your blog, we will defend it., que se vayan a islatortuga, hah

    /TS

    ResponderEliminar
  7. Echaste tanta flema contra el informe que decía que el firefox era más seguro que el explorer que ahora te has quedado sin fuerzas para hablar del 0day y el culebrón de google-china.

    ResponderEliminar
  8. @anonimo, tengo tantas ganas como tú, pero de momento han hablado en Security By Default e Hispasec, así que no parece necesario que hable de ello de momento. Además, aun no hay demasiada información pública de él.

    Lo que se sabe es que le Protected Mode y las zonas de seguridad de internet por defecto mitigaban los efectos. Puedes ir leyendo el advisory de la Knowlegde base para coger más info.

    Saludos!

    PD: El informe de la OCU es una puta mierda. ¿Tienes algo que decir al respecto?

    ResponderEliminar
  9. como no iba a fallar si es ASP lol, bueno nadamas falta que tengan access para su BD xDDD..

    ResponderEliminar
  10. Lo que es fascinante es como has dado con esa url vulnerable, aún perdiendo el tiempo con google dorks del tipo inurl:contact.asp?id=
    Se te ve el plumero Chema...

    ResponderEliminar