Το προφίλ μας στο Google Plus
4

Επίθεση στα τυφλά! (Μέρος 1o)

Δεν τρελαθήκαμε, ούτε βέβαια σκοπεύουμε να επιτεθούμε σε όλο το Internet. Θα σας δείξουμε μόνο ένα παιχνίδι ερωτήσεων, το οποίο παίζεται με ευπαθείς δικτυακές εφαρμογές. Με αυτό το παιχνίδι, χωρίς να ζητάμε και χωρίς να βλέπουμε αυτό που πραγματικά μας ενδιαφέρει, θα εξαγάγουμε κρίσιμες πληροφορίες …από τα συμφραζόμενα.

deltaHacker 012 (τεύχος Σεπτεμβρίου 2012) | Επίθεση στα τυφλά! (Μέρος 1o)

Ίσως ήδη παρεξηγήσατε τον τίτλο του άρθρου, αν κι εδώ που τα λέμε είναι αρκετά παραπλανητικός! Το σίγουρο πάντως είναι ότι δεν εννοούμε μια επίθεση με κλειστά μάτια, π.χ., σε οποιονδήποτε ή οτιδήποτε βρεθεί μπροστά μας και με απρόβλεπτες συνέπειες. Αντίθετα, εννοούμε μια επίθεση η οποία βασίζεται σε όχι και τόσο φανερά δεδομένα. Πιο σωστά, σε δεδομένα που κρύβονται πίσω από γεγονότα, τα οποία συνήθως θεωρούμε αδιάφορα. Μιλάμε για το λεγόμενο blind SQL injection. Πρόκειται για μια επίθεση που βρίσκεται στις πρώτες θέσεις του OWASP Top 10, εδώ και πολλά χρόνια. Μάλιστα, αξίζει να πούμε ότι ενώ χαρακτηρίζεται από μέτριο βαθμό δυσκολίας, έχει σοβαρότατες επιπτώσεις!

Διαβάστε όλο το άρθρο στο deltaHacker 012 (τεύχος Σεπτεμβρίου 2012). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και security που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

4 Responses to “Επίθεση στα τυφλά! (Μέρος 1o)”

  1. jon__ | 15/11/2012 at 13:08

    Γεια σας.. :)

    Έχω κάνει εγκατάσταση το lamp χωρίς κάποιο προβλήματα αλλά δεν μου εμφανίζει τίποτα στο πεδίο πεδίο article και by :

    http://postimage.org/image/bxbpgs9p3/

    Όπου και να πατήσω δεν παίρνω καμία τιμή! Στο screenshot έχω επιλέξει το άρθρο 1 το ίδιο συμβαίνει και στα υπόλοιπα.

    Ευχαριστώ.

    • 41i3n | 15/11/2012 at 20:21

      Καλησπέρα φίλε jon__ :)

      Συγνώμη που καθυστέρησα λιγάκι να απαντήσω. Στο θέμα μας όμως!

      Με τη βοήθεια σου ανακάλυψα πως το webapp.php στα περιεχόμενα του dh012blindSQLi.zip έχει λάθος στην γραμμή 30! Ήταν ένα copy από τις δοκιμές μου. Το σωστό webapp.php μπορείς να το βρεις στo συμπιεσμένο correct.zip ακολουθώντας τo link http://bit.ly/TNODGY

      Εκεί (στη γραμμή 30) θα δεις το σωστό sql query όπως φαίνεται και στο screenshot στο περιοδικό.

      Δεν μπορώ να καταλάβω πως μου διέφυγε. Ευχαριστώ για την επισήμανση και συγνώμη ξανά για την ταλαιπωρία.

  2. jon__ | 16/11/2012 at 12:05

    Σε ευχαριστώ για τον χρόνο σου :)

    • 41i3n | 16/11/2012 at 14:41

      Εγώ ευχαριστώ για την επισήμανση. Χωρίς τη βοήθεια σου δεν θα το είχα αντιληφθεί! Για ό,τι απορία έχεις πάνω στο άρθρο μη διστάσεις :)

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων