HARD CORE SECURITY LAB

Początkowa próba ataku typu SQL injection poprzez ogólnodostępny formularz logowania nie dała żadnych rezultatów. Intruzowi udało się jednak uzyskać dostęp do logu zawierającego informacje o nieudanych próbach logowania. Dalej, poprzez zdobyte w ten sposób poświadczenia, możliwe było zalogowanie się do systemu na prawach zwykłego użytkownika. Wszystko to pozwala w końcu na wykorzystanie narzędzia SQLmap w celu dobrania się do bazy danych. Wreszcie, tabela login zdradza poświadczenia administracyjne, hasło było zaszyfrowane, jednak strona rot13.com okazała się być rozwiązaniem tego problemu. W końcu intruz mógł się już cieszyć administracyjnym dostępem do serwisu, który w dodatku pozwalał na wstrzykiwanie systemowych poleceń i wyświetlał wyniki ich wykonania w przeglądarce... zobaczmy to wszystko na własne oczy.

Oto zapis video dokumentujący przebieg powyższego ataku na witrynę Royal Bank of Ireland:

Co prawda był to jedynie symulowany atak odbywający się w kontrolowanym środowisku w ramach konkursu The Hex Factor 2009 - B300 Challenge, to jednak powyższy materiał ma duże walory edukacyjne. Specjalnie przygotowany na tę okazję serwis był oczywiście podatny na kilka typowych ataków, dzięki czemu uczestnicy mogli w rozsądnym czasie dotrzeć do pliku, którego zawartość stanowiła dowód zdobycia danego celu. Nie zmienia to jednak faktu, że całe zadanie wymagało sporych umiejętności praktycznych, a zapis całego ataku testowego stanowi świetny materiał edukacyjny dla osób zainteresowanych bezpieczeństwem aplikacji i serwisów internetowych.