[Owasp-turkey] DoS attacks using SQL Wildcards

Ferruh Mavituna ferruh at mavituna.com
Tue May 20 10:03:16 EDT 2008


Merhabalar,

Tesekkurler Bedirhan, paylastiginiz nokta ilgincmis benim modsecurity hic
aklima gelmemisti o sirada. Ek olarak payload cok daha farkli sekillerde de
yapilabilir, senin gosterdigin ve buldugunuz yontem de bunun gibi.

Mesela benim gene dokumanda verdigim basit bir ornek var : _[r/a)_ _(r/b)_
_(r-d)_

Gayet kisa ve benim testimdeki bir web forum yaziliminda 30+ sn. suruyor
calismasi :), yazilim detaylarini burada veremiyorum, kendilerine de acik
olarak bildirdim zaten ama sadece durumun vehametini ortaya koymak adina. Bu
yazilimda mesela 15 karakter gibi bir limit vardi, ama ona ragment
yukaridaki basit arama yetti.

Bu arada karsimiza geldiginde bypass edebilmek icin bu double encoding
olayini akilda tutmak lazim.

2008/5/20 Bedirhan Urgun <urgunb at hotmail.com>:

>
>  merhaba,
> tebrik ederim Ferruh.
>
> Yazidaki teknik ile alakali olarak bugun Yusuf Çeri ile farkettigimiz bi
> noktayi paylasmak istedim. Eger modsecurity ile korunan sisteminiz (veya
> baska bir WAF), yazida belirtilen asagidaki payloadu reddiyorsa
>
> '%_[^!_%/%a?F%_D)_(F%)_%([)({}%){()}£$&N%_)$*£()$*R"_)][%](%[x])%a][$*"£$-9]_%'
>
>
> bu saldiriya acik degiliz anlamina gelmiyor. Yukaridaki payload'un basit
> bir bypass teknigi uygulanmis hali;
>
>
> '%64_[^!_%65/%aa?F%64_D)_(F%64)_%36([)({}%33){()}£$&N%55_)$*£()$*R"_)][%55](%66[x])%ba][$*"£$-9]_%54'
>
> Yani payloaddaki % yerine gecerli bir url encoded karakter giriliyor (ascii
> 32'den buyuk olmasi daha iyi cunku 0-32 [non-printables] arasi reddediliyor
> olarak ayarlanmis olabilir ilgili WAF'da).
>
> Peki arkada donen ne? modsec hatirladigim kadari ile "double encoding"
> saldirilarini engellemek icin aldigi input'u bir daha decode edip, URL
> denetimini bir daha gercekliyor. Ve boylece mesela
>
> %a -> %25a -> modsec -> %25a (gecerli URL encoding) -> %a (*gecersiz *URL
> encoding) = istek reddedilir
>
> ama by-pass teknigi ile
>
> %aa -> %25aa -> modsec -> %25aa (gecerli URL encoding) -> %aa (*gecerli *URL
> ending) = istek onaylanir
>
>
> bedirhan
>
> ------------------------------
> Date: Mon, 19 May 2008 13:24:29 +0100
> From: ferruh at mavituna.com
> To: owasp-turkey at lists.owasp.org
> Subject: [Owasp-turkey] DoS attacks using SQL Wildcards
>
>
> Herkese Selamlar,
>
> Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim,
> burada da hem paylasmak hem de konu hakkinda fikir almak istedim.
>
> Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer
> sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.
> Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor,
> dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali
> gerekli.
>
> Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test
> metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP
> Guide da bu konuda bir seyler ekleyebiliriz.
>
> Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:
>
> http://www.portcullis-security.com/uplds/wildcard_attacks.pdf
>
>
>
> Iyi Calismalar,
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
>
> ------------------------------
> E-mail for the greater good. Join the i'm Initiative from Microsoft.<http://im.live.com/Messenger/IM/Join/Default.aspx?source=EML_WL_+GreaterGood>
>



-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080520/f6f73095/attachment.html 


More information about the Owasp-turkey mailing list