CODE613M

נתקלתי במשהו פשוט מפחיד!
הייתי צריך לחפש משהו ברשות התאגידים, ובשורת החיפוש כתבתי את הטקסט הבא:

קוד: בחר הכל

a or 'a'='a'

אתם מוזמנים לנסות (ולחכות בסבלנות) ולספר לי מה יצא לכם....
אני חוויתי ככל הנראה נפילה של השרת.......

נמצא בשיתופייה מסיבות מובנות.

עריכה: או שאני טועה, והמתכנת שם כ"כ מוכשר כדי לחסום את הIP שלי ולתת לי תחושת נפילה אחרי נסיון הזרקה

ייתכן שזה דחיה אוטומטית של השרת בשביל למנוע התקפות. ברגע שמזוהה דפוס פעולה עויין התקשורת עימו נכנסת לתור ארוך.

מבחינת ההגנה ממתקפת סייבר. האתרים הפרימטיביים של הממשלה חייבים להיות מודרניים לגמרי, וזה כנראה שכלול. אתר רגיל שמקבל הזרקת SQL מתמודד עם זה ע"י קידוד למחרוזת, ובעצם ממשיך לתת את שירותיו לתוקף שבד"כ כונותיו עויינות והוא מייד אחרי דרך אחת פונה לדרך אחרת של התקפה, כאשר גם אם השרת מתמודד יפה עם כל ההתקפות, הוא נותן משאבים לשווא.

לא ברור לי איך זה אמור לעבוד - צריך לשים גרש גם אחרי ה A הראשונה בשביל לסגור את הסטרינג ולהשאיר בסוף את הסטרינג פתוח בשביל שהוא יסגור
ככה :

קוד: בחר הכל

SELECT * FROM X WHERE a='" + "a' or 'a'='a" + "'"

אגב לדעתי אתם מייחסים מקצועיות רבה מדי לקולגות שלנו עובדי המדינה - כנראה זה מניע את הבקשה המדוברת רק שיש TIMEOUT על הREQUSET מצד שני ה SESSION עדיין עסוק וזו הסיבה שהוא חוסם את המשך הגלישה

softs כתב:לא ברור לי איך זה אמור לעבוד - צריך לשים גרש גם אחרי ה A הראשונה בשביל לסגור את הסטרינג ולהשאיר בסוף את הסטרינג פתוח בשביל שהוא יסגור
ככה :

קוד: בחר הכל

SELECT * FROM X WHERE ' + "a' or 'a'='a" + "'"

אגב לדעתי אתם מייחסים מקצועיות רבה מדי לקולגות שלנו עובדי המדינה - כנראה זה מניע את הבקשה המדוברת רק שיש TIMEOUT על הREQUSET מצד שני ה SESSION עדיין עסוק וזו הסיבה שהוא חוסם את המשך הגלישה

צודק לגבי ההזרקה, אבל בשני המקרים התוצאה דומה.
לגבי המקצועיות של הקולגות:
1. הם ממש לא מקצועיים, ואני מוכן לתת לנושא הזה כמה דוגמאות, הבולטת והמפורסמת היא ההודעה על אתר ממשלתי שבאיכספלורר 9 צריך לבחור תצוגת תאימות,במקום לתת את התג המתאים.
2. לגבי הנושא של הסשן וכו', בדקתי את זה ע"י שעשיתי ריסט לראוטר מיד אחרי שזה נתקע, וקיבלתי IP חדש. האתר נפתח לי כמו שצריך, מה שאומר שהחסימה ברמת הIP.
3. דווקא בנושא של פריצה אני קצת מסכים עם דוד (לא יודע לגבי הדוגמא הספציפית ברשם החברות - אני מדבר בכללי), ההגנה על האתרים לא באה מהמתכנים "המוכשרים" אלא יותר מאנשי אבטחת המידע. (בחלקם הם שייכים ליחידת הסייבר של צה"ל שמורכבת בעיקר מחרדים שחושבים מחוץ לקופסא [בלי להיכנס לשאלה מה הם עושים שם, וכמה הם חרדים אחרי שהם שם])
בפירוש עשיתי עכשיו כמה בדיקות נוספות,ורק במקרה של הזרקה שנראית כהזרקה, מתבצעת חסימה.
הסיבה שהם עושים את זה לכאורה זה לא בגלל שהם מקצועיים (והם לא!), אלא ההתקפות של אנונימוס וכו' חייבו אותם להתמקצע או להביא חברות מבחוץ לעניין זה.

רוב הפרוייקטים הללו לא מבוצעים ע"י עובדי מדינה אלא ע"י חברות שזוכות במכרזים תפורים ו/או שבנויים בצורה מטופשת למדי (ראה כאן דיברנו ע"כ) אשר מאפשרת לכל מיני קופים להשתתף במכרזים בשם זה שיש להם "חברה" כאשר בסופו של דבר העבודה נעשית אחרי עשר מאכערים ש"מתווכים" וגוזרים קופון, ע"י קבלני משנה/כוח אדם ירוד שנשכר בחברת כוח אדם, ושלל חנטרישים דומים. וראה כאן וכאן איך חברה פרטית מגייסת עובדים, צא ולמד מה בין השוק החופשי לשמאל הסוציאלסטי הישראלי.
לגבי עובדי המדינה עצמם (אלו שבהעסקה ישירה ולא דרך מכלאת כוח אדם פיאודלית) מאן דכר שמיה. משרצת של טפילים ועלוקות שחיים ע"ח הציבור ומוצצים את דמו. כשכולם יושבים על הסכמי שכר ופנסיה תקציבית שגם אם תקבוץ את כל הממון שבעולם לא תוכל לשלם להם...
מצטער על ההתפרצות, אבל כל המימסד המשוקץ הזה שנקרא כספי ציבור ועובדי מדינה (כלומר שהמדינה כולה עובדת בשבילם והם עובדים על המדינה שהם עובדי מדינה), זה דבר שמרתיח אותי בכל פעם מחדש כאילו זאת פעם ראשונה. התנצלותי.

ClickOne כתב:לגבי הנושא של הסשן וכו', בדקתי את זה ע"י שעשיתי ריסט לראוטר מיד אחרי שזה נתקע, וקיבלתי IP חדש. האתר נפתח לי כמו שצריך, מה שאומר שהחסימה ברמת הIP.

אינו ראיה, מכיוון שיכול להיות שIP חדש מקבל סשן חדש בשרת - צריך לבדוק בדפדפן אחר עם אותו IP.

ארכיטקט כתב:רוב הפרוייקטים הללו לא מבוצעים ע"י עובדי מדינה אלא ע"י חברות שזוכות במכרזים תפורים ו/או שבנויים בצורה מטופשת למדי (ראה כאן דיברנו ע"כ)

אתה מזכיר לי נשכחות, היה לי יד ורגל בפרוייקט של בתי המשפט ואני מכיר את הבעיות (החלקים שלי בקוד עובדים פיקס! ברור, כן? )
אבל לגבי האנשים ספציפית שם יש כמה מקצוענים ברמות מטורפות - שכשהפרוייקט עבר עכשיו ל HP גייסו אותם בכל מחיר, אבל בפרוייקט בכזה סדר גודל לא תמיד מקצועיות ורצון טוב עוזר, לפעמים פוליטיקה יכולה להוריד לטמיון עבודות של חודשים.

ברוך ה' היום אני בחברת הייטק אמיתית ולא בביצה הפרויקטלית . . .

בקטע של אבטחת מידע האתרים של הממשלה הם בסדר לגמרי, תבדקו אותם. בעצם אתם לא צריכים לבדוק, עושים זאת ממילא אלפים כל הזמן.
אבל ניסיתי לבטל את הJS+MaxLength ולשלוח OR בשדה המספר שמה זה לא עובד אך אין דחיה מהשרת. אם עובדים קשה אולי אפשר למצוא חורים קטנים, האתר בנוי בWebForms כנראה ASP.NET 4.
בקשר לשאלה שאין כאן בכלל הזרקה, אז ההתנהגות היא לפי הבדיקות שלי שכל פעם שיש בקלט OR או AND (עם רווחים לפני ואחרי) אז החיבור מתנתק ומסרב לענות לפרק זמן.