ZDNet.be gehackt???

Gimli · 23 jul 2008, 12:02

Astralon schreef: Wat ik me afvraag? Hebben ze die CAPTCHA ook omzeild?

2 Manieren

1. CAPTCHA recognition software
http://security4all.blogspot.com/2008/0 ... trong.html

2. Social engineering:
http://security4all.blogspot.com/2007/1 ... tchas.html

Hier staat de volledige uitleg van hoe deze specifieke injectie op ZDnet te werk ging en hoe je je er tegen kunt beschermen.
http://www.rtraction.com/blog/devit/sql ... -cast.html

Pieterjanvl · 23 jul 2008, 18:12

Bedankt voor de steun jongens

, ik heb deze thread trouwens al doorgegeven aan de collega's.

Wat de communicatie betreft proberen we gewoon zo duidelijk mogelijk te zijn. Zoiets verzwijgen zou alleen maar extra verdacht lijken en je wil (zeker als technologiesite) niet het imago krijgen dat je onveilig bent. Om die reden heeft onze webmaster ook alles platgelegd toen hij de omvang zag.

Wat die 6500 betreft, the attack is still going, toch toen ik onze webmaster daarstraks even sprak.

@Astralon: als ik me niet vergis hebben ze de Captcha niet gekraakt. Believe it or not, die doet zijn werk vrij goed

, maar vraag me niet in detail hoe het precies is gegaan.

wamukota · 24 jul 2008, 07:52

@PieterJanVl,

Ik weet niet of jullie via een IIS server werken, maar indien zo dan raad ik jullie admins eens aan om het F/OSS programma Webknight van AQTRONIX te installeren op jullie IIS server.(http://aqtronix.com/?PageID=99)

WebKnight uses security filters as buffer overflow, SQL injection, directory traversal, character encoding and other attacks. This way WebKnight can protect your server against all known and unknown attacks. Because WebKnight is an ISAPI filter it has the advantage of working closely with the web server, this way it can do more than other firewalls and intrusion detection systems, like scanning encrypted traffic.

WebKnight is free software under the terms of the GNU General Public License, en is ontwikkeld door Bruggeling Parcifal Aertssens.

Reeds in mei dit jaar had AQTRONIX weet van deze hack en zijn programma onderschepte zonder enig probleem deze SQL injection aanval.

Groetjes,

Alain

Astralon · 24 jul 2008, 08:22

Pieterjanvl schreef:@Astralon: als ik me niet vergis hebben ze de Captcha niet gekraakt. Believe it or not, die doet zijn werk vrij goed , maar vraag me niet in detail hoe het precies is gegaan.

Zoals door Gimli reeds aangegeven wijzigen ze blijkbaar de URL wat ik reeds vermoedde want anders moet je de Captcha ook nog omzeilen.
Dus blijkbaar zijn er twee problemen:
1) Er wordt niet gecontroleerd of de URL correct is
2) De database zelf is ook nog vatbaar voor een SQL injection

@Pieterjan,
Neem dit a.u.b. niet persoonlijk (je bent trouwens één van de personen die ik contacteer als er een sterk gerucht is over belangrijke IT-zaken maar waar wij niet de "macht" hebbben om die geruchten te controlleren )
Ik probeer alleen maar te begrijpen hoe e.e.a. is kunnen gebeuren.

You have a web page like www.mywebsite.com/showproducts.aspx?categoryId=12. An attacker visits your website with SQL code appended to the number 12 in the sample URL provided. A simple attack would look like http://www.mywebsite.com/showproducts.a ... =12;SELECT * from tblProducts;. As you can see the attacker is guessing at the table name and hoping to get all of the information dumped back to them when you pass the categoryId to the database. Below you can see a much more complicated attack where they’ve used a CHAR array and then used the CAST command to have your SQL Server convert the array so it can be executed.

24 jul 2008, 08:55

Data input validation is the key

.

splinterbyte · 24 jul 2008, 11:22

Ze werken met IIS...

http://www.zdnet.be/zd/images_matrix/ca ... ple188.jpg

wamukota · 25 jul 2008, 14:13

Lees mijn blog entry over WebKnight en mijn interview met Parcifal Aertssens, de ontwikkelaar van deze IIS ISAPI filter.

http://wamukota.blogspot.com/2008/07/we ... eased.html

Alain

reyntjensw · 29 jul 2008, 14:25

Is werken met xml niet de oplossing?
Neem dat je met een soort cms systeem content maakt in een db en dat je met een cron een xml aanmaakt van alle content.

Dan kan je (volgens mij) al een deel van de security versterken. Voor het redactie form is natuurlijk wel een db nodig.

Wat denken jullie?

29 jul 2008, 14:48

ZDNet werkt volgens mij al met een dergelijk systeem, maar ik zie niet in wat dat aan security bijbrengt? Enkel performance lijkt me ...

reyntjensw · 29 jul 2008, 14:50

Wat ik bedoel is dat de xml maar in 1 weg werkt en die is van db naar xml en niet omgekeerd. Dus zo verminder je het gevaar van een injection, neen?

ubremoved_539 · 02 aug 2008, 16:08

Goztow schreef:Data input validation is the key .

Inderdaad... en het zomaar vertrouwen van input, en zelfs uitvoeren als SQL statement is gewoon zondigen tegen de meest elementaire basisregels.

Input voer je nooit uit... je gebruikt het als parameter (wat NIET hetzelfde is als wat strings aan elkaar plakken, zoals ik reeds in een andere thread eens heb besproken) in een bestaand SQL statement.

crapiecorn · 03 aug 2008, 00:28

reyntjensw schreef:Wat ik bedoel is dat de xml maar in 1 weg werkt en die is van db naar xml en niet omgekeerd. Dus zo verminder je het gevaar van een injection, neen?

Bwa, de twee hebben eingelijk weinig met mekaar te maken. Het meest kwetsbare is de input, niet de output. Voor output kan je bv gebruik maken van een gelimiteerde user die alleen SELECT statements mag uitvoeren. Gevaarlijker is als de database user INSERT en UPDATE rechten moet hebben.

ZDNet.be gehackt???

Userbase AI hulp

Antwoord