[Owasp-turkey] DoS attacks using SQL Wildcards

Bedirhan Urgun urgunb at hotmail.com
Tue May 20 09:42:55 EDT 2008


 merhaba,tebrik ederim Ferruh. 
 
Yazidaki teknik ile alakali olarak bugun Yusuf Çeri ile farkettigimiz bi noktayi paylasmak istedim. Eger modsecurity ile korunan sisteminiz (veya baska bir WAF), yazida belirtilen asagidaki payloadu reddiyorsa 
 
'%_[^!_%/%a?F%_D)_(F%)_%([)({}%){()}£$&N%_)$*£()$*R"_)][%](%[x])%a][$*"£$-9]_%' 
 
bu saldiriya acik degiliz anlamina gelmiyor. Yukaridaki payload'un basit bir bypass teknigi uygulanmis hali;
 
'%64_[^!_%65/%aa?F%64_D)_(F%64)_%36([)({}%33){()}£$&N%55_)$*£()$*R"_)][%55](%66[x])%ba][$*"£$-9]_%54'
 
Yani payloaddaki % yerine gecerli bir url encoded karakter giriliyor (ascii 32'den buyuk olmasi daha iyi cunku 0-32 [non-printables] arasi reddediliyor olarak ayarlanmis olabilir ilgili WAF'da).
Peki arkada donen ne? modsec hatirladigim kadari ile "double encoding" saldirilarini engellemek icin aldigi input'u bir daha decode edip, URL denetimini bir daha gercekliyor. Ve boylece mesela
 
%a -> %25a -> modsec -> %25a (gecerli URL encoding) -> %a (gecersiz URL encoding) = istek reddedilir
 
ama by-pass teknigi ile
 
%aa -> %25aa -> modsec -> %25aa (gecerli URL encoding) -> %aa (gecerli URL ending) = istek onaylanir
 
 
bedirhan
 


Date: Mon, 19 May 2008 13:24:29 +0100From: ferruh at mavituna.comTo: owasp-turkey at lists.owasp.orgSubject: [Owasp-turkey] DoS attacks using SQL WildcardsHerkese Selamlar,Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim, burada da hem paylasmak hem de konu hakkinda fikir almak istedim. Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor, dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali gerekli.Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP Guide da bu konuda bir seyler ekleyebiliriz.Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:http://www.portcullis-security.com/uplds/wildcard_attacks.pdfIyi Calismalar,-- Ferruh Mavitunahttp://ferruh.mavituna.com 
_________________________________________________________________
E-mail for the greater good. Join the i’m Initiative from Microsoft.
http://im.live.com/Messenger/IM/Join/Default.aspx?source=EML_WL_ GreaterGood
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080520/aaa8ca37/attachment.html 


More information about the Owasp-turkey mailing list