SQL-Injection für Scriptkiddies

Donnerstag, 12. Juli 2012, 21:30 Uhr |  Autor:

Bei den in den letzten Wochen gehäuft aufgetretenen Einbrüchen in Datenbanken mit Kundendaten (LinkedIn, eHarmony, Last.fm, Yahoo Voice Yahoo! Contributor Network, etc.), könnte man auf die Idee kommen, dass da Fachleute am hacken waren — dem muss aber nicht so sein. Auch DAUs kommen leicht per SQL-Injection (und dem richtigen Werkzeug), an Zugangsdaten — und dies ohne jegliche Kenntnisse, wie eine SQLi-Lücke konkret ausgenutzt werden kann.


Das Video zeigt WordPress mit einem Plugin, welches für SQL-Injection anfälligen ist.

Als erstes sieht man den Firefox (mit der HackBar). Wird ein Hochkomma an die 1 von postID gehängt, so wird eine Fehlermeldung ausgegeben. Diese Fehlermeldung ist noch kein Beweis für eine SQL-Injection, aber ein Hinweis darauf, dass hier die Benutzereingaben nicht ausreichend gefiltert werden. Das ausbleiben einer Fehlermeldung wäre hingegen kein Indiz dafür, dass keine Schwachstelle vorliegt, denn Fehlermeldungen können auch generell unterdrückt werden.

Dass das and 1=1 keine Fehlermeldung ausgibt, aber ein and 1=2, ist dagegen schon ein deutlicher Beleg für ein Schwachstelle.

Die weiteren Schritte im Video zeigen nicht die Details einer manuellen SQL-Injection, sondern das Werkzeug Havij, welches den Angriff automatisch durchführt. Es muss nur noch ausgewählt werden welche Daten Havij auslesen soll.

Wie im Video zu sehen ist, gibt es neben der Datenbank “havijdemo” noch weitere Datenbanken. Dies alles ist eine XAMP-Installation in die ich einmal WordPress mit dem für SQLi anfälligen Plugin installiert habe und eine nackte WordPress-Installation. Wer also auf seinem System, und sei es auch nur zum Testen, etwas installiert, worin eine SQL-Injection zu finden ist, der kompromittiert alle Datenbanken auf dem System. Dies sagt uns: Nur weil die Daten aus dem VoIP-Dienst Yahoo Voice Yahoo! Contributor Network stammen, bedeutet dies nicht, dass genau dieser Dienst auch Anfällig für SQL-Injection ist bzw. war, es könnte auch eine vollkommen andere Anwendung auf dem Server angegriffen worden sein.


Was will ich jetzt hiermit verdeutlichen? Das nicht jeder Hack von hochspezialisierten Cyberkriminelle durchgeführt wurde und der Cyberwar nicht vor der Tür steht, nur weil sich dies in den Medien besser verkaufen lässt. Was in den letzten Wochen und Monaten an Zugangsdaten nach oben geschwemmt wurde, geht wahrscheinlich eher auf das Konto der pickligen 15-jährigen DAUs, die entsprechende Tools im Netz entdeckt haben…

15-jähriger Hacker knackte PCs von 259 Firmen” (futurezone.at)

Ein 15-jähriger Hauptschüler aus Niederösterreich soll einen groß angelegten Hackerangriff gegen die Wirtschaft geführt haben. Insgesamt knackte er Computer von 259 Firmen, darunter befanden sich auch 30 österreichische. Der Jugendliche wurde von einer Spezialeinheit des Bundeskriminalamts aufgespürt und angezeigt.



Update: 13.07.2012 – 14:05 Uhr

Es tropfte nicht aus Yahoo Voice, sondern aus dem Yahoo! Contributor Network, siehe: “Yahoo bestätigt Passwort-Leck” (heise.de)

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: SQLi

Kommentare und Pings sind geschlossen.