17 jul 2013

¿Cuánto tardas en encontrar un SQLi?

En otras ocasiones hemos hablado de que, es más rápido obtener una cuenta en Internet que crearla, por lo que si se quiere hacer algo malo en Internet, se debería pasar antes por estos rincones. Hoy queremos estudiar cuanto tiempo nos costaría hacernos con una base de datos de usuarios, de productos, de contraseñas, sin apenas tener conocimientos. Es decir, cualquier persona conociendo dos verbos de Google y utilizando una herramienta de automatización en el análisis y explotación de vulnerabilidades puede hacerse con el control de un sitio web. ¿Fácil? 

PoC

Lo primero es utilizar un buscador que nos permita obtener un listado de sitios web, por ejemplo con extensión PHP y que disponga en la URL el parámetro ID, podríamos realizar la búsqueda por otro cualquier parámetro que nos pueda interesar, pero para ser rápidos se toma ese. La búsqueda generará una gran cantidad de resultados, y ahora ya tenemos lo más importante una gran cantidad de pruebas que realizar.

Como veis en esta primera búsqueda inicial hay muchos falsos positivos, por lo que podemos perfeccionar más la búsqueda para solo seleccionar sitios web vulnerables, por ejemplo, a inyección de código SQL en bases de datos MySql:

Ahora la persona perderá menos de un minuto en empezar a probar los sitios web, pero ¿Qué herramientas puede utilizar para llevar a cabo su tarea? Existen multitud de herramientas de automatización y explotación de SQLi, por ejemplo Havij.

Una vez se ha detectado la vulnerabilidad y explotado se dispone de acceso a la base de datos y las tablas que forman ésta. Es cierto que usando esta herramienta uno se puede sentir un script kiddie, aunque el objetivo del post de hoy es realizar una crítica de lo fácil que puede llegar a ser para cualquier persona utilizando un poco Internet y disponer de 2 minutos, apoderarse de la información de un sitio web. Se recomienda interceptar las peticiones de Havij e investigar alguna de las SQLi que éste lanza, son realmente interesantes.

Ningún sitio web y ninguna persona sufrió daño alguno en la realización de este artículo. Además, nadie resultó inyectado por Havij en la producción del post.

No hay comentarios:

Publicar un comentario