Stránky RIAA napadeny - princip ?

Čau, četl jsem na ddworldu.cz článek "Stránky RIAA úspěšně napadeny" http://www.ddworld.cz/aktuality/stranky-riaa-uspesn e-napadeny.html Mohl by mi někdo říci, na jakém principu byl proveden útok viz. "byly včera velmi úspěšně napadeny za použití poměrně jednoduchého PHP požadavku" ?

Díky

Předmět	Autor	Datum
The RIAA website was apparently vulnerable to a SQL Injection vulnerability and had it's website del… karel 22.01.2008 18:44	karel	22.01.2008 18:44
SQL injection - dotaz v sql se posila občas s promenou, ziskanou od uziatele/ciziho zdroje, je nutne… AZOR 22.01.2008 18:57	AZOR	22.01.2008 18:57
jinak nevim jak karel prisel na SQLinc - dole je napsano XSS-cross site scripting AZOR 22.01.2008 19:00	AZOR	22.01.2008 19:00
Díky za info, pokud jsem to pochopil správně tak by to mělo fungovat asi takto (s php nemám zkušenos… Machy_CZ 22.01.2008 20:47	Machy_CZ	22.01.2008 20:47
brutálně zjednodušeně - ano. touchwood 22.01.2008 21:13	touchwood	22.01.2008 21:13
:-) ano tak nejak. Ve skutecnosti to vypada nejak takto: "vyber z tabulky kde nick=$_ziskanaHodnota"… AZOR 22.01.2008 22:51	AZOR	22.01.2008 22:51
Dolezite je na konci -- inac to nevytvori platny prikaz. Podla mna ale neurobili tak skolacku chybu… poslední MM.. 23.01.2008 00:57	MM..	23.01.2008 00:57

The RIAA website was apparently vulnerable to a SQL Injection vulnerability and had it's website deleted.

SQL injection - dotaz v sql se posila občas s promenou, ziskanou od uziatele/ciziho zdroje, je nutne mit osetreno, aby uzitel nebyl schopen vhodnou volbou hodnoty - treba nicku, do dotazu zasahnout. - typicky ukoncit/zacit zas dotazu pomoci uvozovek/aposrofu a napsat tam svou myslenku (or 1=1 -> bude platit vzdy)

jinak nevim jak karel prisel na SQLinc - dole je napsano XSS-cross site scripting

Díky za info,
pokud jsem to pochopil správně tak by to mělo fungovat asi takto (s php nemám zkušenosti) ?

Třeba proměná nick normálně vypadá takto nick="Machy" a místo jména tam vloží nějaký příkaz např. nick=delete_all. Server to nezpracuje jako text, ale jako příkaz.

brutálně zjednodušeně - ano.

ano tak nejak. Ve skutecnosti to vypada nejak takto:
"vyber z tabulky kde nick=$_ziskanaHodnota"; s tim ze ziskana hodnota muze byt klidne: _lucinka OR 1=1 tedy:
"vyber z tabulky kde nick=lucinka OR 1=1"; tedy vyber z tabulky, vsechno od lucinky nebo kde plati 1=1 a to prosim plati vsude.

Porad hodne zjednoduseno, jeste je tam vic stredniku a apostrofu, ale to uz neni tak podstane, princip je stejny.

Dolezite je na konci -- inac to nevytvori platny prikaz.
Podla mna ale neurobili tak skolacku chybu aby tam slo SQLinject (to by ten web musel robit asi uplny blb :), skor si myslim ze bolo pouzite XSS.
P.S. aj ked teda ked uvazujem nad tym "blb", bola to stranka RIAA, takze mozna je aj ta verzia s blbom

Zpět do poradny Odpovědět na původní otázku Nahoru