In Segurança sql injection hack
Na sequencia dos meus blogs espaçados em quase um ano aqui vai mais um post.
Este hacking recebi por email de um amigo meu, bastante proximo.
Ora a aventura começa quando por indicação de um cliente este solicita uma analise à empresa GESTWARE.
Ao abrir abrir a página da empresa http://www.gestware.pt/parceiros/ obtinha-se dois campos, para colocar o login e a password.
Aqui começa a piada. Eu tenho um 'dizer' que até é parecido com o do meu amigo.
"De bola e informática toda a gente percebe, mas toda a gente"
Ora, na primeira tentativa de colocar o login que veio a cabeça do meu amigo, diga-mos ADMIN e uma palavra pass que não interessa, obtive um erro de autenticação com erros de sql.
Os senhores consultores/developers de informática em fazer a validação dos campos. Ao que lhes dou os parabéns pois facilitaram em muito o trabalho ao meu amigo.
O erro obtido era:
Este hacking recebi por email de um amigo meu, bastante proximo.
Ora a aventura começa quando por indicação de um cliente este solicita uma analise à empresa GESTWARE.
Ao abrir abrir a página da empresa http://www.gestware.pt/parceiros/ obtinha-se dois campos, para colocar o login e a password.
Aqui começa a piada. Eu tenho um 'dizer' que até é parecido com o do meu amigo.
"De bola e informática toda a gente percebe, mas toda a gente"
Ora, na primeira tentativa de colocar o login que veio a cabeça do meu amigo, diga-mos ADMIN e uma palavra pass que não interessa, obtive um erro de autenticação com erros de sql.
Os senhores consultores/developers de informática em fazer a validação dos campos. Ao que lhes dou os parabéns pois facilitaram em muito o trabalho ao meu amigo.
O erro obtido era:
BLA BLA BLA SQL ERROR IN
where clientid='admin' and SENHA='teste''
Como se obteve este erro, foi simplesmente colocar a plica ' no local da password
Porreiro pá, (até parece o 'trocaste' no contra informação)
Os gajos são tao mauzinhos na função deles que me dao o SQL todinho para fazer o exploit.
NOOBS ou windows developers, para mim são o mesmo.
Não conseguem ver alem do aspx e das libs que a microshit lhes enfia pelos olhos acima.
A unica dificuldade era mesmo a limitacao de o USERNAME e a PASSWORD estar limitada a 10 chars
A primeira string testadas para o exploit foi
1'or1--
por forma a comentar o resto da linha assim que o username fosse lido.
Claro que a string era inserida no lugar do USERNAME.
Depois de andar a anhar um bocadinho la se colocou.
1'or'1'='1
No lugar do USERNAME e da PASSWORD
ora o SQL que é passado para o programa de autenticação é:
select * from TABELAX
where clientid='1'or'1'='1' and
SENHA='1'or'1'='1'
Com isto fico a saber que o programa de autenticação só necessita que a expressao retorne um TRUE.
Maravilhoso, que método mais idiota.
Assim foi, ao colocar admin no local do clientid,
kaputz fez-se chocapic
Parabens pela segurança.
Já agora deixo a nota que este erro foi apresentado a GESTWARE,
a empresa dignamente ofendeu o meu amigo por email por lhes ter apontado uma falha.
DESCULPEM LA A VOSSA INCOMPETENCIA.
Comments