[Owasp-brazilian] sql injection nos sites do governo

Jeronimo Zucco jczucco at gmail.com
Wed Nov 26 08:20:30 EST 2008


http://br.zone-h.org/content/view/573/9/


Grupo Fatal Error invade site da FAB e mais de 300 sites do Governo


Um dos grupos mais antigos e ainda em atividade, conhecido como Fatal
Error, invadiu na noite de ontem o site da Força Aérea Brasileira.
Juntamente com este ataque o defacer desfigurou outros 6 sites da FAB.
Entramos em contato com o defacer, para descobrir qual foi o método
utilizado no ataque e descobrimos que a falha explorada foi SQL
Injection.
Segundo o defacer o site da FAB está "todo vulnerável" a ataques de
SQL Injection.
Este tipo de ataque não depende de sistema operacional ou da linguagem
de programação do site (ASP, PHP, ColdFusion e etc...), os fatores que
levam a este tipo falha são o erro no tratamento de querys sql por
quem desenvolveu o site, permitindo assim ao defacer manipular as
informações dentro do banco de dados usando apenas a URL do site e
somado com a configuração errada do webserver, leva ao agravamento da
falha de segurança, permitindo muitas vezes que um usuário malicioso
envie arquivos para dentro do servidor.

Este grupo efetuou entre os dias 19 e 21 deste mês o maior ataque a
sites do Governo Brasileiro, com um total de 302 invasões e novamente
por uma falha de SQL Injection...

Apesar da maioria dos administradores de rede e/ou servidores web não
darem muita importância as páginas criadas pela sua equipe de
programadores webs, eles deveriam ao menos configurarem seus
servidores de maneira adequada, para evitar que um pequeno ataque de
SQL Injection, possa resultar em uma invasão em massa ou o que é muito
pior, o roubo de todas as informações do banco de dados, através de um
DUMP remoto.
Mas como existe uma grande diferença entre o que é correto fazer e o
que realmente fazem, temos registrado centenas de ataques a empresas
mundialmente famosas e inúmeros sites de Governo, e quase todos, por
um ataque de SQL Injection.

Lista dos ataques aos sites da FAB:
http://www.zone-h.com.br/component/option,com_attacks/Itemid,43/filter_ip,200.140.133.48

Lista do maior ataque a sites do Governo Brasileiro:
http://www.zone-h.com.br/component/option,com_attacks/Itemid,43/filter_ip,200.192.137.48


-- 
Jeronimo Zucco
LPIC-1 Linux Professional Institute Certified
http://jczucco.blogspot.com


More information about the Owasp-brazilian mailing list