Accueil Finances personnelles Une étude de cas sur la vulnérabilité de sécurité de base de données - nuls

Une étude de cas sur la vulnérabilité de sécurité de base de données - nuls

Table des matières:

Vidéo: Comprendre les vulnérabilités informatiques - Heartbleed 2025

Vidéo: Comprendre les vulnérabilités informatiques - Heartbleed 2025
Anonim

Dans cette étude de cas, Chip Andrews, expert en sécurité SQL Server, a partagé cette expérience de piratage (éthique) avec un client. base de données pour découvrir les failles de sécurité. Cet exemple fournit une mise en garde pour protéger vos informations importantes en insistant sur la sécurité de la base de données sonore.

La situation

Lors d'un test de pénétration de routine, M. Andrews a effectué les recherches obligatoires de Google, la recherche de nom de domaine, les empreintes digitales du système d'exploitation et les analyses de port. Passant à l'application Web fonctionnant sur le système, il a immédiatement été confronté à une page de connexion utilisant l'authentification par formulaires cryptés SSL.

En vérifiant la source de la page Web, il a remarqué qu'un champ App_Name caché était transmis à l'application chaque fois qu'un utilisateur tentait de se connecter au site. Se pourrait-il que les développeurs aient échoué à effectuer une validation d'entrée correcte sur ce paramètre à l'apparence innocente? La chasse était allumée.

Le résultat

En premier lieu, il était temps d'assembler la boîte à outils. Au moment de ce test de pénétration, M. Andrews a préféré utiliser: Paros Proxy, Absinthe, Cain et Abel, Data Thief, et Microsoft SQL Server Management Studio / SQL Server (Édition Express), qui sont tous disponibles gratuitement.

Pour commencer, il a utilisé Paros Proxy pour permettre plus de contrôle et de visibilité sur les requêtes web faites au serveur web.

Après avoir recherché les pages disponibles sur le site et effectué une vérification rapide des vulnérabilités de l'injection SQL, il a été confirmé que le paramètre App_Name semblait provoquer une exception Erreur 500 sur l'application, indiquant un échec de l'application. Les tests de pénétration sont l'une des rares occasions où un échec d'application est un résultat souhaitable.

Comme l'échec de l'application indiquait que M. Andrews pouvait injecter des caractères non intentionnels dans le code SQL envoyé de l'application à la base de données, il pouvait voir s'il s'agissait d'une condition exploitable.

Un test courant qui fonctionne avec les bases de données Microsoft SQL Server consiste à injecter une commande, telle que WAITFOR DELAY '00: 00: 10 ', ce qui provoque le blocage du serveur de base de données pendant 10 secondes. Dans une application qui renvoie normalement une page en une seconde ou moins, un délai cohérent de 10 secondes est un bon indicateur que vous pouvez injecter des commandes dans le flux SQL.

Ensuite, M. Andrews a tenté d'utiliser l'outil Data Thief pour attaquer la page de connexion.Cet outil tente de forcer la base de données à utiliser une commande OPENROWSET pour copier des données de la base de données cible vers la base de données de M. Andrews située sur Internet.

C'est généralement un moyen très efficace de siphonner de grandes quantités de données à partir de bases de données vulnérables, mais dans ce cas, son attaque a été déjouée! L'administrateur de base de données de la cible avait désactivé la fonctionnalité OPENROWSET en configurant correctement l'option Désactiver les requêtes distribuées Adhoc.

Avec la diligence de son mot d'ordre, M. Andrews a persisté avec l'outil suivant: Absinthe. Cet outil utilise une technique appelée injection SQL aveugle pour effectuer des déterminations de données à l'aide de simples questions oui ou non de la base de données. Par exemple, l'outil peut demander à la base de données si la première lettre d'une table est inférieure à "L. "

Si oui, l'application pourrait ne rien faire, mais si non, l'application pourrait lancer une exception. En utilisant cette simple logique binaire, il est possible d'utiliser cette technique pour révéler toute la structure de la base de données et même les données stockées à l'intérieur - bien que très lentement. En utilisant l'outil, il a identifié une table d'informations sensibles sur les clients et a téléchargé plusieurs centaines d'enregistrements pour montrer le client.

Enfin, il était temps d'essayer un dernier acte de lamentation de la base de données. D'abord, M. Andrews a chargé l'outil appelé Cain & Abel et l'a mis en mode de reniflement. Puis, à l'aide de Paros Proxy et du paramètre vulnérable déjà identifié, il a utilisé la procédure stockée étendue xp_dirtree, qui est disponible pour les utilisateurs de base de données SQL Server, pour tenter d'afficher un répertoire sur sa machine connectée à Internet.

Cela a forcé la base de données cible à tenter de s'authentifier contre la machine de M. Andrews. Parce que Cain & Abel écoutait sur le fil, il a obtenu le hachage du défi utilisé pour authentifier le partage de fichiers exposés.

En transmettant ce hachage au pirate de mot de passe intégré à Cain & Abel, M. Andrews aurait le nom d'utilisateur et le mot de passe du compte sous lequel SQL Server vulnérable était en cours d'exécution juste un peu de temps.

Ce compte piraté utiliserait-il le même mot de passe que le compte administrateur de l'application Web? Ce mot de passe serait-il le même que le compte d'administrateur local sur l'hôte? Ce sont des questions pour un autre jour. Il était temps de rassembler toutes les données recueillies, de préparer un rapport pour le client et de mettre les outils de côté pour un autre jour.

Chip Andrews est co-fondateur de la société de conseil en sécurité Special Ops Security, Inc. et propriétaire de SQLSecurity. com, qui dispose de plusieurs ressources sur la sécurité de Microsoft SQL Server, y compris l'outil SQLPing3. Un co-auteur de plusieurs livres sur la sécurité de SQL Server et un présentateur de Black Hat, M. Andrews fait la promotion de SQL Server et de la sécurité des applications depuis 1999.

Une étude de cas sur la vulnérabilité de sécurité de base de données - nuls

Le choix des éditeurs

Comment gérer votre temps pour le test GED Science - les mannequins

Comment gérer votre temps pour le test GED Science - les mannequins

Le test GED Science a environ 50 questions (le nombre exact varie d'un test à l'autre) auxquelles vous devez répondre en 90 minutes, ce qui signifie que vous avez environ 90 secondes pour lire chaque passage textuel ou visuel et les questions correspondantes et déterminer la bonne réponse. Si un passage a plus d'une question, vous ...

Comment décrire un ensemble de données statistiquement pour le test GED Science - mannequins

Comment décrire un ensemble de données statistiquement pour le test GED Science - mannequins

Le Le test GED Science posera des questions liées aux statistiques descriptives. Vous pouvez souvent résumer une collection de données (à partir d'une expérience, d'observations ou d'enquêtes, par exemple) en utilisant des statistiques descriptives, des chiffres utilisés pour résumer et analyser les données et en tirer des conclusions. Les statistiques descriptives pour une collection de données sont les suivantes: Fréquence: ...

Comment prédire un résultat sur la base des données ou des preuves du test scientifique GED

Comment prédire un résultat sur la base des données ou des preuves du test scientifique GED

Utiliser des preuves pour prédire les résultats est une compétence nécessaire pour le test GED Science. Les plus grands avantages des études scientifiques peuvent souvent être attribués au fait que leurs conclusions permettent aux gens de prédire les résultats. (Vous souhaiterez probablement que la science puisse vous aider à prédire vos résultats au test!) Vous êtes témoin de la science en action tous les jours ...

Le choix des éditeurs

Mettez les contrats en place pour vous protéger et protéger votre maman Écrivains de blog - parités

Mettez les contrats en place pour vous protéger et protéger votre maman Écrivains de blog - parités

Le temps et l'argent pour créer des accords légaux avec tous vos auteurs. Traitez votre entreprise comme une véritable entreprise. Trouver un bon avocat qui se spécialise dans le droit d'auteur et le droit des contrats pour vous aider à naviguer dans ces eaux légales. La loi sur le droit d'auteur est étrange et délicate, et défie souvent le bon sens. Voici les plus importants ...

Sélectionnez une plate-forme de blog - hébergée ou hébergée - des nuls

Sélectionnez une plate-forme de blog - hébergée ou hébergée - des nuls

Si vous démarrez un blog à partir de zéro, vous devez choisir une plate-forme de blog avant de pouvoir commencer à travailler sur la conception de votre blog. Le choix d'une plateforme de blog n'est pas une décision facile, car les plateformes de blogs ont plusieurs goûts différents. Une liste des plates-formes les plus couramment utilisées est incluse dans le tableau pour vous ...

Communiquer avec d'autres blogueurs pour promouvoir votre blogue - Les mannequins

Communiquer avec d'autres blogueurs pour promouvoir votre blogue - Les mannequins

N'oublient pas que les autres blogueurs peut être votre public principal. Ces gens sont en ligne et connaissent déjà les blogs, et vous êtes susceptible de trouver d'autres blogueurs avec qui vous avez beaucoup en commun. Rencontrer des blogueurs en personne et communiquer avec eux en ligne sont des moyens formidables de réseauter et de commercialiser votre blog. Les blogueurs sont bien ...

Le choix des éditeurs

En déployant suffisamment d'efforts pour bâtir l'estime de soi - des nuls

En déployant suffisamment d'efforts pour bâtir l'estime de soi - des nuls

Construisent une estime de soi saine. Les buts qui valent la peine d'être atteints exigent beaucoup de dévouement et de travail acharné, et abandonner est trop facile quand les choses se compliquent. Continuez à faire des efforts en vous rappelant de tenir ces types d'attitudes motivationnelles: je peux supporter la douleur et l'inconfort qui accompagnent le travail acharné. Il peut ...

Expliquant ce qui se passe lors d'une séance d'hypnothérapie - mannequins

Expliquant ce qui se passe lors d'une séance d'hypnothérapie - mannequins

Brièvement, voici les étapes d'une séance d'hypnothérapie typique . Cependant, gardez à l'esprit qu'une session «typique» varie beaucoup selon l'hypnothérapeute et le patient. Vous vous familiarisez avec votre hypnothérapeute. Votre hypnothérapeute rassemble des informations sur vous (principalement complétées lors de la session initiale). La transe est induite. La transe est approfondie. La réalité ...

Examinant les avantages et les inconvénients de la colère - les nuls

Examinant les avantages et les inconvénients de la colère - les nuls

La colère, comme toute autre chose, n'est pas bonne ou tout mauvais: il a beaucoup de pour et de contre. Les sections suivantes expliquent celles pour vous, afin que vous obteniez une image claire de la colère et de l'effet qu'elle peut avoir sur votre vie. Regarder les points positifs de la colère La colère peut être une émotion très pénible ...