LinkBack URL
About LinkBacks
Citarjajajaja
Ataque de inyección SQL masivo
Más de medio millón de sitios que utilizan Microsoft IIS y Microsoft SQL Server, han sido hackiados utilizando técnicas de inyección SQL. Los visitantes de dichas paginas, son redirigidos a otros sitios en donde se intentan distintos ataques a través de vulnerabilidades conocidas, para instalar malware en los equipos.
Los sitios webs a donde son dirigidos los usuarios al entrar a estas paginas son:
Recomendamos bloquear dichos sitios en la configuración del firewall.Código:nmidahena.com, aspder.com y nihaorr1.com
Los ataques de inyección SQL son en general responsabilidad del desarrollador del sitio y no del sistema base, ya que básicamente aprovechan malas practicas de seguridad al momento de crear las webs, sin embargo en esta ocasión han aprovechando una característica ( no una vulnerabilidad ) especifica de MS IIS/MS SQL que les permite realizar el ataque sin conocer los nombres de las tablas o campos en las bases, por lo cual han podido realizar un ataque automatizado con el resultado masivo que se puede observar.
Fuente:
Kriptopolis
f-secure
Última edición por Marcel; 28/04/2008 a las 14:33
"El amor a la libertad es amor al prójimo; el amor al poder es amor a sí mismo"
William Hazlitt
jajajaja
500k!?
Saludos.
LouderThanBombs.
Gracias... agregando al proxy.
Alguna pagina chilena conocida que este en las condiciones descritas??
me acuerdo de la cara de marcel y el letrero de microsoft al lado
Me acuerdo que la otra vez estaba haciendo un sistema, pero tomé especiales precauciones con la inyección SQL, quitando antes de hacer la consulta todos aquellos elementos típicos de una consulta SQL: la comilla simple, la doble, el ampersand y las palabras WHERE y AND. Claro, no podría haber un nombre de usuario que contuviera espacio-WHERE-espacio o espacio-AND-espacio, pero para un sistema que no iba a tener más de 25 usuarios no importaba, importaba más la seguridad... Otra medida que tomamos fue que en todos los campos no se podían poner más de 20 caracteres.
Saludos !!
Lee Nuestra FAQ, los famosos 14 mandamientos de CHW.
El Reglamento de Compra-Venta, Nuestra Visión y por último, Nuestra Historia
Futurama & The IT Crowd fanboy
Frase célebre: "Debido a la gran cantidad de guiños y referencias relacionadas con el mundo informático, esta sección permanecerá siempre incompleta, al menos hasta que se complete"
Para el bronce: Oh, i'm very confortable with my sexuality, i just don't want to be slapped in the face with THEIR sexuality
Mi blog | Mi Twitter | Zend Certified Engineer
Me parece pésimo por parte de la siute de servicios web de Microsoft esta vulnerabilidad/característica. Sin embargo, quiero destacar algo:
que les permite realizar el ataque sin conocer los nombres de las tablas o campos en las bases
El poder acceder a todas las tablas del sistema sin conocer sus nombres o campos no es una debilidad sino más bien una característica de MSSql, Oracle, MySql y probablemente todas las demás RDBMS. El problema, entonces, no es el poder llegar a todas las tablas y campos sin conocer sus nombres, sino más bien el poder ejecutar código malicioso en la RDBMS con un usuario muy poderoso (root para MySql, o System/Sys para Oracle).
Bueno, eso. Igual pésimo lo que pasó. O sea, uno, dos, cien o mil hackeos pueden atibuírse al desarrollador, pero 500 mil son por culpa del producto.
wuajajajja, que se cambien a linux !!!!
Última edición por apo; 28/04/2008 a las 14:16
Iniciado por Zuljin
wuajajajja, que se cambien a linux !!!!
¿¿¿ Sabes leer ???
Fíjate bien . . .
apache >>>>>>>>>IIS
Core i5 750 @4ghz |Msi P55-gd65|G.skill ripjaws 1600@2000mhz|Hitachi Deskstar 250gb sata II+Hitachi 500gb sata II|Fuente Dell Xps 750w modded|Xfx HD5770 1gb gddr5|watercooling casero
|caja moddeada...
http://www.chw.net/foro/modding-f37/...btx-a-atx.html
:fatality
lighty FTW
_____________________
And now that you've been broken down
Got your head out of the clouds
You're back down on the ground
And you don't talk so loud
And you don't walk so proud
Mhhh... no he trabajado mucho con otros web servers, pero si pasa en el IIS debería pasar también en Apache y los demás o me equivoco ?
que increible, y pensar que aún así hay gente que cree que en este tipo de errores, la responsabilidad es del desarrollador web..
eso bien pdoria pasar el otros servers por lo que leo de zuljin no?
Microsoft
En realidad la primera responsabilidad es del arquitecto de la empresa o en su defecto del jefe del desarrollador, éste tema se debe abordar como normativa del equipo de desarrolloque increible, y pensar que aún así hay gente que cree que en este tipo de errores, la responsabilidad es del desarrollador web..
no, pq esa inyección SQL que se hace, se hace aprovechando una vulnerabilidad de ASP, que corre exclusivamente sobre IIS, en su control para subir archivos (bueno, en este caso, una inyección SQL)
Saludos !!
Lee Nuestra FAQ, los famosos 14 mandamientos de CHW.
El Reglamento de Compra-Venta, Nuestra Visión y por último, Nuestra Historia
Futurama & The IT Crowd fanboy
Frase célebre: "Debido a la gran cantidad de guiños y referencias relacionadas con el mundo informático, esta sección permanecerá siempre incompleta, al menos hasta que se complete"
Para el bronce: Oh, i'm very confortable with my sexuality, i just don't want to be slapped in the face with THEIR sexuality
Mi blog | Mi Twitter | Zend Certified Engineer
No necesariamente. Estos hackeos estarían explotando pifias de ASP, IIS y corriendo un procedimiento de base de datos que probablemente esté hecho a le medida de MSSQL (ya que me imagino que MSSQL es el RDBMS más común entre los servicios web basados en Microsoft).
depende del nivel de seguridad del sitio y de las caracteristicas del DBMS, ahora lo que me pregunto es el como lograron mediante una inyeccion SQL obtener privilegios de root System/Sys/sysadmin para ejecutar el código malicioso..
Última edición por galansinchance; 28/04/2008 a las 14:52
no es necesarioEso lo hace la página, la conexión con la base de datos la establece ella xDD Claro, si hay dos páginas alojadas en dos bases de datos diferentes, afectarás únicamente la página que estás visitando, no la que esté en otra base de datos con otro username
Saludos !!
Lee Nuestra FAQ, los famosos 14 mandamientos de CHW.
El Reglamento de Compra-Venta, Nuestra Visión y por último, Nuestra Historia
Futurama & The IT Crowd fanboy
Frase célebre: "Debido a la gran cantidad de guiños y referencias relacionadas con el mundo informático, esta sección permanecerá siempre incompleta, al menos hasta que se complete"
Para el bronce: Oh, i'm very confortable with my sexuality, i just don't want to be slapped in the face with THEIR sexuality
Mi blog | Mi Twitter | Zend Certified Engineer
Permisos de publicación
