הפורום נסגר!

במקומו נפתח פורום חדש, טוב יותר בהרבה מובנים. >>>>
אתם מוזמנים להצטרף אליו, בואו!

ההצטרפות לפורום התכנות החדש כרוכה בתשלום חודשי סמלי.

פשוט מפחיד!! הזרקת SQL באתר ממשלתי

שיתוף של ידע פרקטי, ספריות, קוד, ודוקמנטציה ברוחב לב החברים היקרים.

פשוט מפחיד!! הזרקת SQL באתר ממשלתי

הודעהעל ידי ClickOne » 29 ספטמבר 2014, 01:21

נתקלתי במשהו פשוט מפחיד!
הייתי צריך לחפש משהו ברשות התאגידים, ובשורת החיפוש כתבתי את הטקסט הבא:
קוד: בחר הכל
a or 'a'='a'


אתם מוזמנים לנסות (ולחכות בסבלנות) ולספר לי מה יצא לכם.... :cry: :cry: :cry:
אני חוויתי ככל הנראה נפילה של השרת.......

נמצא בשיתופייה מסיבות מובנות.

עריכה: או שאני טועה, והמתכנת שם כ"כ מוכשר כדי לחסום את הIP שלי ולתת לי תחושת נפילה אחרי נסיון הזרקה :lol: :lol: :lol:
קליקOne - קליק אחד ואתה מסודר!

המרחק בין להבין קוד כתוב, לבין לשפר אותו הוא אדיר, והמרחק ביניהם, לבין לכתוב פרויקט או אפילו להתחיל פרויקט בצורה טובה הוא עוד יותר גדול. [משפט חכם ששמעתי...]
ClickOne
משתמש וותיק
 
הודעות: 930
הצטרף: 29 דצמבר 2013, 09:50
שלח תודה: 1465 פעמים
קיבל תודה: 760 פעמים

Re: פשוט מפחיד!! הזרקת SQL באתר ממשלתי

הודעהעל ידי דוד ל.ט. » 29 ספטמבר 2014, 11:21

ייתכן שזה דחיה אוטומטית של השרת בשביל למנוע התקפות. ברגע שמזוהה דפוס פעולה עויין התקשורת עימו נכנסת לתור ארוך.

מבחינת ההגנה ממתקפת סייבר. האתרים הפרימטיביים של הממשלה חייבים להיות מודרניים לגמרי, וזה כנראה שכלול. אתר רגיל שמקבל הזרקת SQL מתמודד עם זה ע"י קידוד למחרוזת, ובעצם ממשיך לתת את שירותיו לתוקף שבד"כ כונותיו עויינות והוא מייד אחרי דרך אחת פונה לדרך אחרת של התקפה, כאשר גם אם השרת מתמודד יפה עם כל ההתקפות, הוא נותן משאבים לשווא.
סמל אישי של המשתמש
דוד ל.ט.
משתמש וותיק
 
הודעות: 2380
הצטרף: 12 יוני 2013, 11:02
שלח תודה: 1238 פעמים
קיבל תודה: 2019 פעמים

Re: פשוט מפחיד!! הזרקת SQL באתר ממשלתי

הודעהעל ידי softs » 30 ספטמבר 2014, 15:11

לא ברור לי איך זה אמור לעבוד - צריך לשים גרש גם אחרי ה A הראשונה בשביל לסגור את הסטרינג ולהשאיר בסוף את הסטרינג פתוח בשביל שהוא יסגור
ככה :
קוד: בחר הכל
SELECT * FROM X WHERE a='" + "a' or 'a'='a" + "'"


אגב לדעתי אתם מייחסים מקצועיות רבה מדי לקולגות שלנו עובדי המדינה - כנראה זה מניע את הבקשה המדוברת רק שיש TIMEOUT על הREQUSET מצד שני ה SESSION עדיין עסוק וזו הסיבה שהוא חוסם את המשך הגלישה
נערך לאחרונה על ידי softs בתאריך 06 אוקטובר 2014, 16:15, נערך פעם אחת בסך הכל.
softs
משתמש וותיק
 
הודעות: 282
הצטרף: 22 יוני 2014, 16:43
שלח תודה: 25 פעמים
קיבל תודה: 444 פעמים

Re: פשוט מפחיד!! הזרקת SQL באתר ממשלתי

הודעהעל ידי ClickOne » 30 ספטמבר 2014, 21:32

softs כתב:לא ברור לי איך זה אמור לעבוד - צריך לשים גרש גם אחרי ה A הראשונה בשביל לסגור את הסטרינג ולהשאיר בסוף את הסטרינג פתוח בשביל שהוא יסגור
ככה :
קוד: בחר הכל
SELECT * FROM X WHERE ' + "a' or 'a'='a" + "'"


אגב לדעתי אתם מייחסים מקצועיות רבה מדי לקולגות שלנו עובדי המדינה - כנראה זה מניע את הבקשה המדוברת רק שיש TIMEOUT על הREQUSET מצד שני ה SESSION עדיין עסוק וזו הסיבה שהוא חוסם את המשך הגלישה

צודק לגבי ההזרקה, אבל בשני המקרים התוצאה דומה.
לגבי המקצועיות של הקולגות:
1. הם ממש לא מקצועיים, ואני מוכן לתת לנושא הזה כמה דוגמאות, הבולטת והמפורסמת היא ההודעה על אתר ממשלתי שבאיכספלורר 9 צריך לבחור תצוגת תאימות,במקום לתת את התג המתאים.
2. לגבי הנושא של הסשן וכו', בדקתי את זה ע"י שעשיתי ריסט לראוטר מיד אחרי שזה נתקע, וקיבלתי IP חדש. האתר נפתח לי כמו שצריך, מה שאומר שהחסימה ברמת הIP.
3. דווקא בנושא של פריצה אני קצת מסכים עם דוד (לא יודע לגבי הדוגמא הספציפית ברשם החברות - אני מדבר בכללי), ההגנה על האתרים לא באה מהמתכנים "המוכשרים" אלא יותר מאנשי אבטחת המידע. (בחלקם הם שייכים ליחידת הסייבר של צה"ל שמורכבת בעיקר מחרדים שחושבים מחוץ לקופסא [בלי להיכנס לשאלה מה הם עושים שם, וכמה הם חרדים אחרי שהם שם])
בפירוש עשיתי עכשיו כמה בדיקות נוספות,ורק במקרה של הזרקה שנראית כהזרקה, מתבצעת חסימה.
הסיבה שהם עושים את זה לכאורה זה לא בגלל שהם מקצועיים (והם לא!), אלא ההתקפות של אנונימוס וכו' חייבו אותם להתמקצע או להביא חברות מבחוץ לעניין זה.
קליקOne - קליק אחד ואתה מסודר!

המרחק בין להבין קוד כתוב, לבין לשפר אותו הוא אדיר, והמרחק ביניהם, לבין לכתוב פרויקט או אפילו להתחיל פרויקט בצורה טובה הוא עוד יותר גדול. [משפט חכם ששמעתי...]
ClickOne
משתמש וותיק
 
הודעות: 930
הצטרף: 29 דצמבר 2013, 09:50
שלח תודה: 1465 פעמים
קיבל תודה: 760 פעמים

Re: פשוט מפחיד!! הזרקת SQL באתר ממשלתי

הודעהעל ידי ארכיטקט » 01 אוקטובר 2014, 01:55

רוב הפרוייקטים הללו לא מבוצעים ע"י עובדי מדינה אלא ע"י חברות שזוכות במכרזים תפורים ו/או שבנויים בצורה מטופשת למדי (ראה כאן דיברנו ע"כ) אשר מאפשרת לכל מיני קופים להשתתף במכרזים בשם זה שיש להם "חברה" כאשר בסופו של דבר העבודה נעשית אחרי עשר מאכערים ש"מתווכים" וגוזרים קופון, ע"י קבלני משנה/כוח אדם ירוד שנשכר בחברת כוח אדם, ושלל חנטרישים דומים. וראה כאן וכאן איך חברה פרטית מגייסת עובדים, צא ולמד מה בין השוק החופשי לשמאל הסוציאלסטי הישראלי.
לגבי עובדי המדינה עצמם (אלו שבהעסקה ישירה ולא דרך מכלאת כוח אדם פיאודלית) מאן דכר שמיה. משרצת של טפילים ועלוקות שחיים ע"ח הציבור ומוצצים את דמו. כשכולם יושבים על הסכמי שכר ופנסיה תקציבית שגם אם תקבוץ את כל הממון שבעולם לא תוכל לשלם להם...
מצטער על ההתפרצות, אבל כל המימסד המשוקץ הזה שנקרא כספי ציבור ועובדי מדינה (כלומר שהמדינה כולה עובדת בשבילם והם עובדים על המדינה שהם עובדי מדינה), זה דבר שמרתיח אותי בכל פעם מחדש כאילו זאת פעם ראשונה. התנצלותי.
יש גבול לכמות המציאות שאדם יכול לשאת - גוזף קונרד.
זמן זה הדבר שאותו אנחנו מודדים באמצעות שעון - אלברט איינשטיין.
ארכיטקט
משתמש וותיק
 
הודעות: 1001
הצטרף: 20 יוני 2013, 12:48
שלח תודה: 373 פעמים
קיבל תודה: 634 פעמים

Re: פשוט מפחיד!! הזרקת SQL באתר ממשלתי

הודעהעל ידי softs » 01 אוקטובר 2014, 10:42

ClickOne כתב:לגבי הנושא של הסשן וכו', בדקתי את זה ע"י שעשיתי ריסט לראוטר מיד אחרי שזה נתקע, וקיבלתי IP חדש. האתר נפתח לי כמו שצריך, מה שאומר שהחסימה ברמת הIP.

אינו ראיה, מכיוון שיכול להיות שIP חדש מקבל סשן חדש בשרת - צריך לבדוק בדפדפן אחר עם אותו IP.

ארכיטקט כתב:רוב הפרוייקטים הללו לא מבוצעים ע"י עובדי מדינה אלא ע"י חברות שזוכות במכרזים תפורים ו/או שבנויים בצורה מטופשת למדי (ראה כאן דיברנו ע"כ)

אתה מזכיר לי נשכחות, היה לי יד ורגל בפרוייקט של בתי המשפט ואני מכיר את הבעיות (החלקים שלי בקוד עובדים פיקס! ברור, כן? ;))
אבל לגבי האנשים ספציפית שם יש כמה מקצוענים ברמות מטורפות - שכשהפרוייקט עבר עכשיו ל HP גייסו אותם בכל מחיר, אבל בפרוייקט בכזה סדר גודל לא תמיד מקצועיות ורצון טוב עוזר, לפעמים פוליטיקה יכולה להוריד לטמיון עבודות של חודשים.

ברוך ה' היום אני בחברת הייטק אמיתית ולא בביצה הפרויקטלית . . .
softs
משתמש וותיק
 
הודעות: 282
הצטרף: 22 יוני 2014, 16:43
שלח תודה: 25 פעמים
קיבל תודה: 444 פעמים

Re: פשוט מפחיד!! הזרקת SQL באתר ממשלתי

הודעהעל ידי דוד ל.ט. » 01 אוקטובר 2014, 10:50

בקטע של אבטחת מידע האתרים של הממשלה הם בסדר לגמרי, תבדקו אותם. בעצם אתם לא צריכים לבדוק, עושים זאת ממילא אלפים כל הזמן.
אבל ניסיתי לבטל את הJS+MaxLength ולשלוח OR בשדה המספר שמה זה לא עובד אך אין דחיה מהשרת. אם עובדים קשה אולי אפשר למצוא חורים קטנים, האתר בנוי בWebForms כנראה ASP.NET 4.
בקשר לשאלה שאין כאן בכלל הזרקה, אז ההתנהגות היא לפי הבדיקות שלי שכל פעם שיש בקלט OR או AND (עם רווחים לפני ואחרי) אז החיבור מתנתק ומסרב לענות לפרק זמן.
סמל אישי של המשתמש
דוד ל.ט.
משתמש וותיק
 
הודעות: 2380
הצטרף: 12 יוני 2013, 11:02
שלח תודה: 1238 פעמים
קיבל תודה: 2019 פעמים


חזור אל שיתופיה

מי מחובר

משתמשים הגולשים בפורום זה: אין משתמשים רשומים ו 0 אורחים