Discussion :

[vil-farfadet]

Bonjour,

J'ai eu le déplaisir vendredi de voir que je faisais l'objet d'une belle attaque par injection sql. C'est un peu de ma faute, le test sur la validité de la valeur passée à ma page n'était pas en place.

Je me suis dit que cela pourrait en intéresser certains d'avoir quelques exemples. Je suis peut-être naïf et si ça se trouve c'est un vulgaire robot qui m'a passé toute sa panoplie en revue...

Donc ma page est du genre http://site/repertoire/page?valeur=nombre et voici différents exemple (j'ai éliminé les essais proches tel que l'ajout d'un NULL) ou j'ai enlever valeur=nombre et mis le texte en clair (sauf pour le premier ou j'ai laissé l'original) :

• %27%22%29%22%28%27%22%27%29%22 ou en clair '")"('"')"
• AND (SELECT 5046 FROM(SELECT COUNT(*),CONCAT(CHAR(58,118,122,116,58),(SELECT (CASE WHEN (5046=5046) THEN 1 ELSE 0 END)),CHAR(58,104,119,114,58),FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)
• AND 7782=CAST(CHR(58)||CHR(118)||CHR(122)||CHR(116)||CHR(58)||(SELECT (CASE WHEN (7782=7782) THEN 1 ELSE 0 END))::text||CHR(58)||CHR(104)||CHR(119)||CHR(114)||CHR(58) AS NUMERIC)
• AND 8364=CONVERT(INT,(CHAR(58)+CHAR(118)+CHAR(122)+CHAR(116)+CHAR(58)+(SELECT (CASE WHEN (8364=8364) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(58)+CHAR(104)+CHAR(119)+CHAR(114)+CHAR(58)))
• AND 9528=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(118)||CHR(122)||CHR(116)||CHR(58)||(SELECT (CASE WHEN (9528=9528) THEN 1 ELSE 0 END) FROM DUAL)||CHR(58)||CHR(104)||CHR(119)||CHR(114)||CHR(58)||CHR(62))) FROM DUAL)
• ; WAITFOR DELAY '0:0:5';--
• AND SLEEP(5)
• UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL--

Merci d'avance pour tous vos commentaires construcutifs sur le sujet.

[ViZiOnZ]

Déjà, selon tes dires, si on se base que sur ça, il y a une faille CSRF. Ensuite concernant ces sites, essaies de mettre une requête par Robots en SQL, et sinon fais en sorte que le ftp soit sécurisé, car selon ton site, ce ne doit pas être le cas, et un CheatPass suffirait à cracker ton ftp.

[dahtah]

Déjà, selon tes dires, si on se base que sur ça, il y a une faille CSRF.

Non, rien a voir. SQLi depend purement de la validation de tes inputs.

Ensuite concernant ces sites, essaies de mettre une requête par Robots en SQL, et sinon fais en sorte que le ftp soit sécurisé, car selon ton site, ce ne doit pas être le cas, et un CheatPass suffirait à cracker ton ftp.

FTP n'a rien a voir la-dedans. SQLi est une faille applicative introduite par le programmeur (mauvaise validation des points d'entrees).

@vil-farfadet : ces requetes peuvent etre generee par un crawler comme tu le dis, ou si c'etait plus ciblee, par des outils sqli. Tu leurs donne un parametre a tester, et ils generent toute un ensemble de requete pour tester ce champ. Perso, j'utilise SQLMap quand je tombe sur un champ SQLinjectable (dans le mode professionnel bien sur).

[vil-farfadet]

@vil-farfadet : ces requetes peuvent etre generee par un crawler comme tu le dis, ou si c'etait plus ciblee, par des outils sqli. Tu leurs donne un parametre a tester, et ils generent toute un ensemble de requete pour tester ce champ. Perso, j'utilise SQLMap quand je tombe sur un champ SQLinjectable (dans le mode professionnel bien sur).

SqlMap a l'air pas mal effectivement. Merci du tuyau.

[riadh.rezig]

Personnellement je récupère la valeur avec intval:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$valeur = inval($_GET['nombre'];

Ensuite je vais vérifier si l'objet demandé existe deja:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_num_rows(mysql_query("TROUVER L'ARTICLE AVEC L'ID X"))

Coté Serveur, vous pouvez mettre en place mod_security ou bien configurer iptables afin de bloquer les scans de vulnérabilités.