SQL Injection sebezhetőség jelzése

Web, mail, IRC, IM, hálózatok

Sziasztok!
Egy oldalon (www.oldalneve.hu/admin, az admin nem látszik a www.oldalneve.hu címen) SQL Injection sebezhetőséget találtam. Bejelentettem az oldalon található e-mail küldő űrlapon, nem saját névvel, de saját gmail.com e-mail címmmel.
Az adott sebezhetőséggel bejelenkeztem az admin felületbe, de semmi rosszat nem csináltam.
Várhatom ettől függetlenül a rendőröket, ha olyan a cég? Le tudnak nyomozni e-mail cím alapján?

  • 4092 megtekintés

( erenon | 2009. 05. 10., v – 12:30 )

egy pert várhatsz, de ha normális az üzemeltető, (vagy a cégnek nincs kerete egy perre,) akkor talán megköszöni. Kis-közepes méretű cégekre jellemző inkább a pozitív hozzáállás.

( tibyke | 2009. 05. 10., v – 12:46 )

en naponta tobb ilyennel talalkozom, mindig jelzem a honlap uzemeltetojenek + a szerver gazdajanak, mindig sajat nevvel es cimmel.
eddig egyszer volt belole problemam: volt anno a homaron egy post a jampubrol, oda be lehetett koszonni. en egybol jeleztem, es meg en voltam a szemetlada es a sumak hekker.

t

( gyrgyvrs | 2009. 05. 10., v – 13:20 )

A cég egy kis vidéki webfejlesztő (szerintem legalábbis). Annyi hibát elkövettem, hogy nem a webfejlsztőnek, hanem a webfejlesztő által készített honlap tulajdonosának írtam.
Mégegyszer: lenyomozhatják az e- mail címem, ha gmail.com-os?

( kojot | 2009. 05. 10., v – 13:58 )

Bűncselekmény esetén lekérhetnek rólad adatokat. De gondolkozunk logikusan! Azt bizonyítani is kell, h kárt okoztál és h mennyit. No az meg bonyolult. Szervert leállít, szakértőhöz el, ha kideríti, h utólag hekkelték akkor részükről bűncselekmény mert hamis tanuzás, hatóság félrevezetése stbstb. Ha mégis ezen átcsúszna, ami nem valószínű, akkor is hónapokba telik mire utólérnek. Gépeden már rég nem lesz nyoma, megint nem lehet egyértelműen bizonyítani. Ha magán személy vagy, akkor értelmetlen perbe fogni 200 millára, úgysem tudják leverni akármeddig pereskednek sem.
Szóval sztem dőlj hátra nyugdtan, és olvasd el a levelet akármit irnak is benne (köszönet/ejnyebejnyenehekkerkedj), és ennyi.

( gyrgyvrs | 2009. 05. 10., v – 14:38 )

Köszi, valamennyire megnyugtattatok. Állami cég, főnököm talán vissza tudna vonatni egy Btk-s feljelentést.

( Beanie | 2009. 05. 10., v – 14:59 )

Majd pls. írd meg, mi lett a kimenetele a dolognak, gondolom többeket érdekel, hogyan reagáltak erre.

( psc | 2009. 05. 10., v – 15:04 )

Ha tényleg enyi történt, akkor nem kell aggódnod, ha fel is jelentenek, te semmilyen, ismétlem semilyen bűncselekmény elkövetése miatt nem vagy elitélhető, ugyanis jóhiszeműen cselekedtél.

lol. Akkor ezután mindenki azt fogja mondani, hogy ő csak jót akart:) Sőt lehúzol egy sql dumpot, utána meg írsz a programozónak/rendszergazdának, hogy hiba van az oldalon, és még meg is köszönik. Vagy ha találok egy ferrarit az utcán amibe benne van a kulcs, akkor elvihetem délutánra, és ha szólok a gazdájának, hogy nyitva volt, akkor nem követtem el bűncselekményt?

Simán felelősségre lehetne vonni, amiért belépett az admin felületre, de szinte biztos, hogy nem fogják.
(Amúgy inkább azokat a cégeket kéne megbüntetni, akik 500.000+-ért árulnak olyan weboldalakat, amik tele vannak sql injection sebezhetőséggel, az ilyeneknek nem is szabad jelezni a hibát, max az ügyfélnek)

( eax | 2009. 05. 10., v – 15:57 )

Ha e-mail alapjan nem is, ip-cim alapjan biztosan.
Altalaban ilyesmit sajat geprol, sajat iprol, sajat email cimrol, stb. tenni fokozottan ellenjavalt.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( Yorirou | 2009. 05. 10., v – 16:19 )

Szerintem meg amíg nem csinál konkrétan semmit, addig nem gond, mert az SQL injection nem számít betörésnek, amíg kárt nem tesznek vele.

Vannak esetek, amikor egyértelmű az SQL injection, nem is kell felderíteni:
- URL-ben vagy hidden form elemben base64 kódolt adat van (ilyenkor 99%, hogy nem escape-elik utána)
- Hidden form elemben SQL van (láttam ilyet!)

Van olyan, amikor a betörés sem betörés:
- jelszó nélküli phpmyadmin az example.com/phpmyadmin vagy example.com/admin url-en (amire véletlen is ráakadhat az ember, ahogyan a googlebot is). Ha ezt indexeli a google, akkor most betört?
- jelszó nélküli admin felület

"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q

( Kormoraan | 2009. 05. 10., v – 16:55 )

Én a magam részéről a segged is megcsókolnám egy ilyen infóért.

( gyrgyvrs | 2009. 05. 12., k – 17:18 )

Hát, még a mai napig nincs javítva, vissza sem szóltak. Ráadásul egyszerű update vagy verzió probléma, mivel a készítő cég referenciái közt van más honlap is, ami szerintem hasonló rendszert használhat és ott ugyanezzel nem tudtam belépni.
Egyébként az ügyfélnek jeleztem... talán a készítő cégnek kellett volna.

( ody42 v | 2009. 05. 12., k – 20:47 )

csak ugy "veletlenul" hogy lehet ilyen sql injection sebezhetoseget megtalalni egy weboldalon?

vagy tele van \"-jel a jelszavad? :)

Egyik munkatárs úgy talált egy támadási felületet, hogy véletlen lenyomott egy "ű" -t az enter mellé.

Másik eset, mikor véletlenül elfelejtettek kaját rendelni a kedvenc ételfutár vállalattól a kollégák péntek délután. Ilyenkor vetődik fel, hogy "véletlen" találni kellene valami post hacket :D

Egyébként szintén kollégáktól tudom, de egyik ételfutár oldalnál elvileg védve vannak a személyes adatok, hogy regisztráció után nem lehet módosítani. Namost ezt az <input readonly="readonly"> sajnos nem fogta meg. :D

Néha azért szánalmas, hogy egyesek mit adnak ki a kezük közül.

----------------
Lvl86 Troll

( linuxman v | 2009. 05. 12., k – 21:57 )

2007 őszén egy weblapról töltöttem le adatokat (semmilyen védelem nem volt rajta, a google is látta)
2008. tavaszán jött egy idézés a rendőrségtől munkahelyre, 10-kor főnököt tanuként kihallgatják,
dél körül már jöttek "házkutatásra", szakértővel együtt.
Nyilván megtalálták a letöltött adatokat, HDD lefoglalásra is került, elvitték.

Az ügy azóta sincs lezárva. Van már kb. 100 oldal iratom az ügyről.

A vonatkozó jogszabály (1978. évi IV. törvény a Büntető Törvénykönyvről):
300/C. § (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.

"Az adott sebezhetőséggel bejelenkeztem az admin felületbe, de semmi rosszat nem csináltam.
Várhatom ettől függetlenül a rendőröket, ha olyan a cég? Le tudnak nyomozni e-mail cím alapján?"

Ettől még feljelenthetnek, lásd jogszabály.
A feljelentő az adat tulajdonosa volt, a szolgáltató pedig nyilván védte a seggét, ezért nem vállalhatta magára.
A rendőrök IP alapján a szolgáltatónál kikérték az adatokat.

Véletlen rájövök, hogy mondjuk van egy oldal, ahol az url így néz ki: http://example.com/blog.php?post_id=128
Ha ezt írom be, akkor bejön egy "random" bejegyzés: http://example.com/blog.php?post_id=128%20OR%201=1
Ez nem jogosulatlan belépés, hanem egy SQL shell. Ezt hogy látja a bíróság (jogban járatos emberke válaszát várom)?

"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q

Hmm necces ha adatot is vittél el, bár elég jól megindokolható a belépés, és az adat hozzáférés, mert szabadon hagyták, tehát közprédává tették szándékosan! A törvény nem ismerete, nem ment fel, ugyan úgy mint a hiányos ismeretek, a rendszergazdát/fejlesztőt sem mentik fel a rés miatt. Tehát akár még vis major is lehet belőle simán.
Ui ha a lakáskulcsod nyitja a szomszéd házát, akkor sincs jogod oda bemenni, és akkor sem, ha kifüggeszti a lakása kulcsát a bejárat elé egy cérnára. Ez a hagyományos jogi elv.
Az internet viszont nem így működik, hanem épp ellenkezőleg. Az a mozgató rugója, h szabad bejárásod van mindenhova ahova tudod, milyen módon lehet belépni. Ez ráadásul elvárás is, ezt hívják látogatottságnak, ezért fizetnek a megrendelők. Tehát a fejlesztők/rendszergazdák dolga, h a titkos helyekre vas rácsot szereljenek, különben azt jelzik, h jogosult vagy bejutni az adott területre. Ha hibás a rácsozat, és átférsz a lukon, akkor is jogos a belépés, mert meghagyták a kiskaput. Ez a tipikus erre nem gondoltam felirat helye. Ha átférsz és jelzed, h itt voltál, hagysz egy papírt az asztalon, akkor viszont a jóindulatod egyértelműen kimutatásra került, jelzed, szerinted ide erősítés kell. Nem biztos, h akarják isde te jelezheted. Ezt tudatosítsd az eljárás során, és azt h itt fordított a logika!