פשוט מפחיד!! הזרקת SQL באתר ממשלתי
-
נתקלתי במשהו פשוט מפחיד!
הייתי צריך לחפש משהו ברשות התאגידים, ובשורת החיפוש כתבתי את הטקסט הבא:a or 'a'='a'אתם מוזמנים לנסות (ולחכות בסבלנות) ולספר לי מה יצא לכם....
אני חוויתי ככל הנראה נפילה של השרת.......נמצא בשיתופייה מסיבות מובנות.
עריכה: או שאני טועה, והמתכנת שם כ"כ מוכשר כדי לחסום את הIP שלי ולתת לי תחושת נפילה אחרי נסיון הזרקה :lol: :lol: :lol:
פורסם במקור בפורום CODE613 ב29/09/2014 02:21 (+03:00)
-
ייתכן שזה דחיה אוטומטית של השרת בשביל למנוע התקפות. ברגע שמזוהה דפוס פעולה עויין התקשורת עימו נכנסת לתור ארוך.
מבחינת ההגנה ממתקפת סייבר. האתרים הפרימטיביים של הממשלה חייבים להיות מודרניים לגמרי, וזה כנראה שכלול. אתר רגיל שמקבל הזרקת SQL מתמודד עם זה ע"י קידוד למחרוזת, ובעצם ממשיך לתת את שירותיו לתוקף שבד"כ כונותיו עויינות והוא מייד אחרי דרך אחת פונה לדרך אחרת של התקפה, כאשר גם אם השרת מתמודד יפה עם כל ההתקפות, הוא נותן משאבים לשווא.
פורסם במקור בפורום CODE613 ב29/09/2014 12:21 (+03:00)
-
לא ברור לי איך זה אמור לעבוד - צריך לשים גרש גם אחרי ה A הראשונה בשביל לסגור את הסטרינג ולהשאיר בסוף את הסטרינג פתוח בשביל שהוא יסגור
ככה :SELECT * FROM X WHERE a='" + "a' or 'a'='a" + "'"אגב לדעתי אתם מייחסים מקצועיות רבה מדי לקולגות שלנו עובדי המדינה - כנראה זה מניע את הבקשה המדוברת רק שיש TIMEOUT על הREQUSET מצד שני ה SESSION עדיין עסוק וזו הסיבה שהוא חוסם את המשך הגלישה
פורסם במקור בפורום CODE613 ב30/09/2014 16:11 (+03:00)
-
לא ברור לי איך זה אמור לעבוד - צריך לשים גרש גם אחרי ה A הראשונה בשביל לסגור את הסטרינג ולהשאיר בסוף את הסטרינג פתוח בשביל שהוא יסגור
ככה :SELECT * FROM X WHERE ' + "a' or 'a'='a" + "'"אגב לדעתי אתם מייחסים מקצועיות רבה מדי לקולגות שלנו עובדי המדינה - כנראה זה מניע את הבקשה המדוברת רק שיש TIMEOUT על הREQUSET מצד שני ה SESSION עדיין עסוק וזו הסיבה שהוא חוסם את המשך הגלישה
צודק לגבי ההזרקה, אבל בשני המקרים התוצאה דומה.
לגבי המקצועיות של הקולגות:- הם ממש לא מקצועיים, ואני מוכן לתת לנושא הזה כמה דוגמאות, הבולטת והמפורסמת היא ההודעה על אתר ממשלתי שבאיכספלורר 9 צריך לבחור תצוגת תאימות,במקום לתת את התג המתאים.
- לגבי הנושא של הסשן וכו', בדקתי את זה ע"י שעשיתי ריסט לראוטר מיד אחרי שזה נתקע, וקיבלתי IP חדש. האתר נפתח לי כמו שצריך, מה שאומר שהחסימה ברמת הIP.
- דווקא בנושא של פריצה אני קצת מסכים עם דוד (לא יודע לגבי הדוגמא הספציפית ברשם החברות - אני מדבר בכללי), ההגנה על האתרים לא באה מהמתכנים "המוכשרים" אלא יותר מאנשי אבטחת המידע. (בחלקם הם שייכים ליחידת הסייבר של צה"ל שמורכבת בעיקר מחרדים שחושבים מחוץ לקופסא [בלי להיכנס לשאלה מה הם עושים שם, וכמה הם חרדים אחרי שהם שם])
בפירוש עשיתי עכשיו כמה בדיקות נוספות,ורק במקרה של הזרקה שנראית כהזרקה, מתבצעת חסימה.
הסיבה שהם עושים את זה לכאורה זה לא בגלל שהם מקצועיים (והם לא!), אלא ההתקפות של אנונימוס וכו' חייבו אותם להתמקצע או להביא חברות מבחוץ לעניין זה.
פורסם במקור בפורום CODE613 ב30/09/2014 22:32 (+03:00)
-
רוב הפרוייקטים הללו לא מבוצעים ע"י עובדי מדינה אלא ע"י חברות שזוכות במכרזים תפורים ו/או שבנויים בצורה מטופשת למדי (ראה כאן דיברנו ע"כ) אשר מאפשרת לכל מיני קופים להשתתף במכרזים בשם זה שיש להם "חברה" כאשר בסופו של דבר העבודה נעשית אחרי עשר מאכערים ש"מתווכים" וגוזרים קופון, ע"י קבלני משנה/כוח אדם ירוד שנשכר בחברת כוח אדם, ושלל חנטרישים דומים. וראה כאן וכאן איך חברה פרטית מגייסת עובדים, צא ולמד מה בין השוק החופשי לשמאל הסוציאלסטי הישראלי.
לגבי עובדי המדינה עצמם (אלו שבהעסקה ישירה ולא דרך מכלאת כוח אדם פיאודלית) מאן דכר שמיה. משרצת של טפילים ועלוקות שחיים ע"ח הציבור ומוצצים את דמו. כשכולם יושבים על הסכמי שכר ופנסיה תקציבית שגם אם תקבוץ את כל הממון שבעולם לא תוכל לשלם להם...
מצטער על ההתפרצות, אבל כל המימסד המשוקץ הזה שנקרא כספי ציבור ועובדי מדינה (כלומר שהמדינה כולה עובדת בשבילם והם עובדים על המדינה שהם עובדי מדינה), זה דבר שמרתיח אותי בכל פעם מחדש כאילו זאת פעם ראשונה. התנצלותי.פורסם במקור בפורום CODE613 ב01/10/2014 02:55 (+03:00)
-
לגבי הנושא של הסשן וכו', בדקתי את זה ע"י שעשיתי ריסט לראוטר מיד אחרי שזה נתקע, וקיבלתי IP חדש. האתר נפתח לי כמו שצריך, מה שאומר שהחסימה ברמת הIP.
אינו ראיה, מכיוון שיכול להיות שIP חדש מקבל סשן חדש בשרת - צריך לבדוק בדפדפן אחר עם אותו IP.
רוב הפרוייקטים הללו לא מבוצעים ע"י עובדי מדינה אלא ע"י חברות שזוכות במכרזים תפורים ו/או שבנויים בצורה מטופשת למדי (ראה כאן דיברנו ע"כ)
אתה מזכיר לי נשכחות, היה לי יד ורגל בפרוייקט של בתי המשפט ואני מכיר את הבעיות (החלקים שלי בקוד עובדים פיקס! ברור, כן? ;))
אבל לגבי האנשים ספציפית שם יש כמה מקצוענים ברמות מטורפות - שכשהפרוייקט עבר עכשיו ל HP גייסו אותם בכל מחיר, אבל בפרוייקט בכזה סדר גודל לא תמיד מקצועיות ורצון טוב עוזר, לפעמים פוליטיקה יכולה להוריד לטמיון עבודות של חודשים.ברוך ה' היום אני בחברת הייטק אמיתית ולא בביצה הפרויקטלית . . .
פורסם במקור בפורום CODE613 ב01/10/2014 11:42 (+03:00)
-
בקטע של אבטחת מידע האתרים של הממשלה הם בסדר לגמרי, תבדקו אותם. בעצם אתם לא צריכים לבדוק, עושים זאת ממילא אלפים כל הזמן.
אבל ניסיתי לבטל את הJS+MaxLength ולשלוח OR בשדה המספר שמה זה לא עובד אך אין דחיה מהשרת. אם עובדים קשה אולי אפשר למצוא חורים קטנים, האתר בנוי בWebForms כנראה ASP.NET 4.
בקשר לשאלה שאין כאן בכלל הזרקה, אז ההתנהגות היא לפי הבדיקות שלי שכל פעם שיש בקלט OR או AND (עם רווחים לפני ואחרי) אז החיבור מתנתק ומסרב לענות לפרק זמן.פורסם במקור בפורום CODE613 ב01/10/2014 11:50 (+03:00)
