[Owasp-turkey] DoS attacks using SQL Wildcards

Bedirhan Urgun urgunb at hotmail.com
Thu May 22 03:26:39 EDT 2008


Merhaba,
Dun ve bugun test ettigimiz sistemlerde, Ferruh'un makalesindeki teknikleri denedik.
Yazida da belirttigi gibi en onemli nokta "denemek". Cunku her payload (sorgu bolumu) her durumda iyi sonuclar vermiyor. Yeni bi tane bulmak gerekebiliyor. Mesela bi sayfada asagidaki yeni payload tek istekte ~20sn tutuyor, character negation trick ;)
 
%n[^n]y[^j]l[^k]d[^l]h[^z]t[^k]b[^q]t[^q][^n]!%
 
Ama onemli olan bi nokta daha var. Aramanin hangi field'lar da yapildigi. Mesela metin (text, blob) sutunlarda arama yapiliyorsa yukaridaki gecerli. Sadece varchar(~50) gibi sutunlarda arama yapan yerlerde (ASP.NET->MSSQL) bu teknikleri kararli kullanamadim simdiye kadar. Hatta bu farkliliga gore bile payloadlar degistirilebilir. Belki fuzzer gibi bisey kullanmak lazim.bedirhan


Date: Tue, 20 May 2008 15:03:16 +0100From: ferruh at mavituna.comTo: urgunb at hotmail.comSubject: Re: [Owasp-turkey] DoS attacks using SQL WildcardsCC: owasp-turkey at lists.owasp.orgMerhabalar, Tesekkurler Bedirhan, paylastiginiz nokta ilgincmis benim modsecurity hic aklima gelmemisti o sirada. Ek olarak payload cok daha farkli sekillerde de yapilabilir, senin gosterdigin ve buldugunuz yontem de bunun gibi.Mesela benim gene dokumanda verdigim basit bir ornek var : _[r/a)_ _(r/b)_ _(r-d)_ Gayet kisa ve benim testimdeki bir web forum yaziliminda 30+ sn. suruyor calismasi :), yazilim detaylarini burada veremiyorum, kendilerine de acik olarak bildirdim zaten ama sadece durumun vehametini ortaya koymak adina. Bu yazilimda mesela 15 karakter gibi bir limit vardi, ama ona ragment yukaridaki basit arama yetti.Bu arada karsimiza geldiginde bypass edebilmek icin bu double encoding olayini akilda tutmak lazim.
2008/5/20 Bedirhan Urgun <urgunb at hotmail.com>:

 merhaba,tebrik ederim Ferruh.  Yazidaki teknik ile alakali olarak bugun Yusuf Çeri ile farkettigimiz bi noktayi paylasmak istedim. Eger modsecurity ile korunan sisteminiz (veya baska bir WAF), yazida belirtilen asagidaki payloadu reddiyorsa  '%_[^!_%/%a?F%_D)_(F%)_%([)({}%){()}£$&N%_)$*£()$*R"_)][%](%[x])%a][$*"£$-9]_%'  bu saldiriya acik degiliz anlamina gelmiyor. Yukaridaki payload'un basit bir bypass teknigi uygulanmis hali; '%64_[^!_%65/%aa?F%64_D)_(F%64)_%36([)({}%33){()}£$&N%55_)$*£()$*R"_)][%55](%66[x])%ba][$*"£$-9]_%54' Yani payloaddaki % yerine gecerli bir url encoded karakter giriliyor (ascii 32'den buyuk olmasi daha iyi cunku 0-32 [non-printables] arasi reddediliyor olarak ayarlanmis olabilir ilgili WAF'da).Peki arkada donen ne? modsec hatirladigim kadari ile "double encoding" saldirilarini engellemek icin aldigi input'u bir daha decode edip, URL denetimini bir daha gercekliyor. Ve boylece mesela %a -> %25a -> modsec -> %25a (gecerli URL encoding) -> %a (gecersiz URL encoding) = istek reddedilir ama by-pass teknigi ile %aa -> %25aa -> modsec -> %25aa (gecerli URL encoding) -> %aa (gecerli URL ending) = istek onaylanir  bedirhan 

Date: Mon, 19 May 2008 13:24:29 +0100From: ferruh at mavituna.comTo: owasp-turkey at lists.owasp.orgSubject: [Owasp-turkey] DoS attacks using SQL Wildcards


Herkese Selamlar,Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim, burada da hem paylasmak hem de konu hakkinda fikir almak istedim. Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor, dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali gerekli.Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP Guide da bu konuda bir seyler ekleyebiliriz.Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:http://www.portcullis-security.com/uplds/wildcard_attacks.pdfIyi Calismalar,-- Ferruh Mavitunahttp://ferruh.mavituna.com 

E-mail for the greater good. Join the i'm Initiative from Microsoft.-- Ferruh Mavitunahttp://ferruh.mavituna.com 
_________________________________________________________________
Change the world with e-mail. Join the i’m Initiative from Microsoft.
http://im.live.com/Messenger/IM/Join/Default.aspx?source=EML_WL_ChangeWorld
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080522/d0fd8c01/attachment.html 


More information about the Owasp-turkey mailing list