Phân tích tấn công của hacker vào website Microsoft-UKJonathan Spiteri
Phân tích chi tiết về một website bị tấn công như thế nào là cách tránh các cuộc tấn công tương tự.
Trang đăng ký sự kiện đối tác của website sự kiện Microsoft tại Anh đã bị làm mất thể diện bởi một hacker, kẻ tấn công này đã khai thác được lỗ hổng trong ứng dụng của một trong những tham số được sử dụng bởi biểu mẫu trên website, đường dẫn trước đây của website bị truy cập là:
http://www.microsoft.co.uk/events/net/eventdetail.aspx?eventid=8399 [taken offline]
Kẻ tấn công có tên là "rEmOtEr", đã xâm nhập vào trang của Microsoft bằng cách lợi dụng lỗ hổng SQL Injection trong tham số được sử dụng bởi biểu mẫu nhúng trên URL của trang. Tham số riêng này không được lọc, do vậy nó đã cho phép hacker có thể đi qua được và xâm nhập vào cơ sở dữ liệu đang được sử dụng bởi biểu mẫu này.
Thêm vào đó, hacker đã khai thác các tên bảng và cột (trường dữ liệu) bên trong cơ sở dữ liệu được gọi và hiển thị trên trang – điều này có nghĩa là các văn bản hoặc thậm chí đoạn mã được chèn bên trong cột này sẽ được hiển thị trên trang.
Các hành động kẻ tấn công đã thực hiện để xem mật khẩu cơ sở dữ liệu
Dưới đây là bối cảnh xây dựng lại một cách vắn tắt để dẫn chứng một số bước được kẻ tấn công thực hiện để khai thác được lỗ hổng SQL Injection trong biểu mẫu đăng ký, bối cảnh này cho phép hacker có thể quan sát được usename và password trong hệ thống:
1. Các tham số của biểu mẫu được điền vào bằng các ký tự không bình thường (như “ ‘ ” và “--“) để xem sự tương tác của website. Các ký tự này thường được lọc ra bởi vì chúng được sử dụng trong SQL như các lệnh đặc biệt để thao tác với cơ sở dữ liệu. Các tham số đã kiểm Trả lời gồm:
*
Các đầu vào hữu hình (textbox, danh sách dropdown,…) trong biểu mẫu (phương thức POST)
*
Các đầu vào vô hình từ mã nguồn HTML của trang (phương thức POST)
*
Các tham số được sử dụng trong URL (phương thức GET)
2. URL của website trong trường hợp này sử dụng hai tham số eventID và v2:
http://www.microsoft.co.uk/events/net/PreRegister.aspx?eventID=p83968&v2=1
Chỉ cần thêm một dấu nháy trên (‘) vào URL, kết quả sẽ thu được như hình 1 dưới đây:
http://www.microsoft.co.uk/events/net/PreRegister.aspx?eventID=p83968&v2=1’