IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le moteur de recherche Google utilisé pour des injections SQL


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Le moteur de recherche Google utilisé pour des injections SQL
    Le moteur de recherche Google utilisé pour des injections SQL
    un expert en sécurité présente un scénario d’attaque

    Les pirates ne manquent pas d’idées pour parvenir à leur fin. Les robots d’indexation du moteur Google auraient été exploités par certains pour effectuer des attaques par injection SQL.

    Qu’allez-vous faire si un robot d’indexation légitime de Google a été utilisé pour attaquer votre site ? Devrez-vous bloquer le bot (bloquant par la même occasion l’indexation de votre site), ou autoriser le trafic malveillant ?

    C’est l’épineuse question à laquelle a été confronté le cabinet de sécurité Sucuri, suite à des activités louches sur le site d’un client. Après des investigations, Sucuri s’est rendu compte que le bot Google était à l’origine du problème.

    Dans un billet de blog, Daniel Cid, PDG de Sucuri, présente de façon détaillée un scénario d’injection SQL (SQLI) en utilisant le bot Google. « Supposons que nous avons un hacker, son nom est John », écrit Cid.

    John parcourt internet et retrouve suffisamment de données pour créer une attaque en direction du site B. John, qui n’est pas un novice dans le piratage, sait que pour mener une attaque réussie, vous devez effacer vos traces et empêcher qu’on remonte jusqu’à vous.

    Très futé, plutôt que de lancer lui-même des requêtes vers le site B, John se contente de créer sur son site un lien comportant des attaques SQLI. Ensuite, il laisse la sale besogne aux robots d’indexation Google, ainsi qu'à ceux utilisés par les autres moteurs de recherche (Bing, Yahoo, etc.), car ils n’ont aucun moyen de savoir si le lien est mal-formé ou s’il est légitime.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%
    20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
    Lorsque le responsable du site affecté se rendra compte de l’attaque, l’analyse de ses logs permettra de constater que l’injection SQL provient du bot Google.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    $ host 66.249.66.138
    138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com.
    
    NetRange:       66.249.64.0 - 66.249.95.255
    CIDR:           66.249.64.0/19
    OriginAS:       
    NetName:        GOOGLE
    Daniel Cid affirme dans son billet de blog avoir informé Google à ce sujet. Le géant de la recherche n’a pas encore fourni de réponse.


    Source : Sucuri


    Et vous ?

    Qu'en pensez-vous ? Et si vous êtes face à une telle situation, comment allez-vous procéder ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre émérite
    Avatar de DelphiManiac
    Homme Profil pro
    Homme à tout faire
    Inscrit en
    Mars 2002
    Messages
    1 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Homme à tout faire
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2002
    Messages : 1 147
    Points : 2 533
    Points
    2 533
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Et vous ?

    Qu'en pensez-vous ? Et si vous êtes face à une telle situation, comment allez procéder ?
    Que la faille soit mise en évidence par un robot de google (ou n'importe quel robot) ou que l'exploitation de la faille provienne d'une adresse IP lambda, faille il y a.

    La seule solution, corriger la faille !!
    Si ce message vous a semblé utile, il est possible qu'il soit utile à d'autres personnes. Pensez au . Et n'oubliez pas le le moment venu !

    On n'a pas à choisir si l'on est pour ou contre la décroissance, elle est inéluctable, elle arrivera qu'on le veuille ou non.

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    53
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 53
    Points : 168
    Points
    168
    Par défaut
    euh, un cabinet de sécurité qui n'a même pas testé, dès le début de l'audit, la sécurité des applis

  4. #4
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    Février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2007
    Messages : 574
    Points : 751
    Points
    751
    Par défaut
    C'est une tres vieille attaque connue depuis 2001, voir phrack.

    Encore des gars qui decouvre l'eau chaude.

  5. #5
    Membre confirmé Avatar de TNT89
    Inscrit en
    Juillet 2007
    Messages
    358
    Détails du profil
    Informations personnelles :
    Âge : 34

    Informations forums :
    Inscription : Juillet 2007
    Messages : 358
    Points : 615
    Points
    615
    Par défaut
    Question très bête : les bots de Google ne trimbalent pas un HTTP_REFERER comme tous les autres clients?

  6. #6
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2007
    Messages
    697
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2007
    Messages : 697
    Points : 1 241
    Points
    1 241
    Par défaut
    Malin comme attaque, après j'imagine qu'on ne peux pas récupérer de donnée à part en spécifiant un serveur de réception mais dans ce cas là, il n'y a plus de masquage des traces. Mais ça reste suffisant pour faire un drop database.

    @TNT89 : d'après ce que je viens de lire, c'est le serveur source (de l'attaquant ici) qui spécifie cette propriété (ou pas). Donc à part demander à Google, quel site son bot visitait avant, il n'y a pas vraiment de moyen de trouver l'attaquant.

  7. #7
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 168
    Points : 4 654
    Points
    4 654
    Par défaut
    C'est comme ça que je me retrouve aussi avec un nombre important d'erreur 404 sur des adresses bizarres avec des jsessionid (mon site est en PHP), script ou autres trucs qui ne peuvent pas passer (ça ne vise visiblement pas du PHP) ressemblant à de l'injection XSS ou SQL, mais qui me pourrissent bien mes logs d'erreurs.

    Ce qui m'étonnent c'est qu'il découvre ça que maintenant... Ça fait des années que je vois ça dans mes logs.

  8. #8
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 690
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 690
    Points : 20 211
    Points
    20 211
    Par défaut
    Qu’allez-vous faire si un robot d’indexation légitime de Google a été utilisé pour attaquer votre site ? Devrez-vous bloquer le bot (entraînant par la même occasion l’indexation de votre site), ou autoriser le trafic malveillant ?
    Dans la logique on corrige la faille. Le danger c'est pas la source de l'attaque c'est qu'il y'ai une faille exploitable.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  9. #9
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 168
    Points : 4 654
    Points
    4 654
    Par défaut
    Citation Envoyé par grunk Voir le message
    Dans la logique on corrige la faille. Le danger c'est pas la source de l'attaque c'est qu'il y'ai une faille exploitable.
    Je pense que certains n’ont pas bien compris l'article. Pour trouver des failles, les types utilisent GoogleBot pour ne pas se faire repérer. Bien sûr que s’il y a une faille il faut le corriger, mais on n'est jamais à l’abri d'en avoir une surtout quand le code du site fait des centaines de milliers de lignes. Là, c'est juste que les types qui les cherchent ne seront pas démasqués, vu qu'il passe par un tiers que l'on ne peut bloquer. De toute façon, Google ne pourra rien faire, rien n’indique qu'il s'agit d'injection ou d'une requête légitime, surtout dans le cas de XSS.

    En tout cas, il est toujours utile d'aller voir le log d’erreur 404, ça permet de voir les choses étranges qui y sont requêtées et vérifier qu'il n'y a pas de problème sur les cas suspects.

  10. #10
    Membre régulier
    Profil pro
    Inscrit en
    Septembre 2009
    Messages
    63
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2009
    Messages : 63
    Points : 103
    Points
    103
    Par défaut
    Sans dire de bêtise, si le Google bot a fait sont travail, il a du référencer le site de John avec les fameux liens, du coup avec les infos dans les log de la cible, en faisant une recherche Google, on devrait retrouver le site John, non?

  11. #11
    Nouveau membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2012
    Messages
    20
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corse (Corse)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Juillet 2012
    Messages : 20
    Points : 36
    Points
    36
    Par défaut
    C'est une trés vieille attaque connue depuis 2001, voir phrack.
    Encore des gars qui découvre l'eau chaude.
    Bah faut bien justifier le salaire de ceux qui ne servent a rien

  12. #12
    Membre averti
    Profil pro
    Inscrit en
    Mars 2013
    Messages
    397
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2013
    Messages : 397
    Points : 424
    Points
    424
    Par défaut
    Citation Envoyé par dahtah Voir le message
    C'est une tres vieille attaque connue depuis 2001, voir phrack.

    Encore des gars qui decouvre l'eau chaude.
    C'est ce que je me disais, et tu le confirmes.
    C'était évident qu'un truc de ce genre avait déjà été exploité il y a longtemps.
    Je veux dire, ok c'est malain, mais à des années lumières en dessous des mecs qui ont fait le premier bo, ho ou rop.

Discussions similaires

  1. Réponses: 14
    Dernier message: 16/06/2015, 12h33
  2. Fonctionnement des moteurs de recherche: GOOGLE, MOZZILLA
    Par decouverte_web dans le forum Internet
    Réponses: 3
    Dernier message: 14/02/2015, 10h52
  3. Réponses: 8
    Dernier message: 11/10/2013, 21h20
  4. Réponses: 2
    Dernier message: 08/10/2009, 14h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo