Søgemaskiner gør massive SQL-injektioner lette

Hackergrupper benytter sig af værktøjer, der automatisk kan finde frem til websteder, der er sårbare over for SQL-injektioner.

De seneste måneder har vi været vidne til flere omfattende angreb, hvor legitime websteder bliver misbrugt til at sprede ondsindede programmer.

Angrebene har været karakteriseret ved, at op mod flere tusinde sider er blevet inficeret på kort tid.

Det er muligt takket være særlige værktøjer, som benytter sig af især Googles søgemaskine til at finde frem til sikkerhedshullerne i websteder, der gør det muligt at foretage en SQL-injektion.

En SQL-injektion foregår i denne type angreb typisk ved, at hackerne finder frem til websteder, hvor det er muligt at indsætte en adresse i koden, som peger på hackernes ondsindede websted.

Det er især de såkaldte 'iframes', der på den måde gør det muligt for en hacker at få sendt ondsindet indhold til brugere, der besøger det legitime websted.

»Som konsekvens af denne type angreb, kan et websted, som normalt ville blive betragtet som harmløst eller uskyldigt, i al stilhed blive ondsindet. Den ene dag er webstedet sikkert, og den næste er det farligt. Det er dét, der gør denne type angreb så effektive,« skriver sikkerhedskonsulent Rossano Ferraris fra softwarefirmaet CA i en analyse af de seneste SQL-injektionsangreb.

For at finde frem til sikkerhedshullerne i webapplikationerne benytter hackerne sig af flere tilgængelige værktøjer, der er udviklet til formålet.

Værktøjerne gør det muligt at søge efter websteder, der indeholder bestemte parametre. Det sker typisk gennem Googles søgemaskine. I visse tilfælde kan værktøjerne også bruges til at automatisere selve angrebet ved at sende SQL-injektionskoden til de sårbare webapplikationer.

For webadministratorerne er det heldigvis et tveægget sværd. Den selvsamme fremgangsmåde kan nemlig benyttes til at finde frem til sikkerhedshuller i de webapplikationer, der kører på éns websted.

Samtidig tilbyder Google blandt andet en tjeneste, hvor webadministratorer kan analysere deres websted for at se, om det er blevet benyttet i forbindelse med angreb.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Stig Johansen

at de bruger Google m.v.

Jeg har sammen med en anden foretaget ret detaljerede logninger/analyse af en lille 'flad' hjemmeside.

Den er lavet i ASP, og indeholder ingen somhelst form for database, og er dermed ikke sårbar over for SQL Injection.

Alligevel kommer der, mere eller mindre dagligt, disse forsøg på SQL injection.

Ud over det, kommer der også dagligt forsøg på at udnytte et hul i Mambo, som er et php system.
Hvis de virkelig brugte google, ville man nok ikke forsøge php injection på et asp system - vel?

Det samme med stage I + II med 'namogofer', som kiggede forbi for nogle måneder siden, igen et forsøg på at injecte php kode på et asp system.

Der er en anden, der har lavet samme nummer med at lokke stage II ud af 'dem':
http://web.dtbaker.com.au/post/catching_echo_md5_just_a_test_exploit_att...

Han skrive dog ikke noget om oprydningsprogrammet, der fjerner sporene efter sig.

  • 0
  • 0
Stig Johansen

Mht søgemaskiner, og brug deraf, er det muligvis et spørgsmål om årsag og virkning.

Alle de føromtalte forsøg på SQL-injection er automatiserede med et program/bot skrevet i Delphi, men nu har der været besøg af en person fra Tyrkiet, der angiveligt har brugt Google til at finde siden.

Spørgsmålet er så om 'hackerne' proaktivt bruger Google, eller andre bliver reaktivt inspireret.

Men det ændrer ikke det kedelige nettoværdifaktum, at der er for mange sårbare systemer i drift.

  • 0
  • 0
Log ind eller Opret konto for at kommentere