3 déc. 2007

Je te dis base vulnérable et tu me réponds...

...que tu as 2 500 000 résultats en poche!
Car tu t'appelles Google et que tu as indexé une foultitude de pages d'erreurs MYSQL, mettant ainsi à disposition de tous des sites vulnérables avec le nom des tables, la requête erronée, le point d'injection etc...


Googlez donc ceci pour voir:

You have an error in your SQL syntax;
check the manual that corresponds to your
MySQL server version for the right syntax to use


Bien sûr les grincheux m'objecteront qu'il y a parmis ces pages recencées pas mal de bruit, de personne qui cherchent à résoudre des problèmes dans leur script ou des manuels de SQL. Néanmoins la proportion de véritables pages d'erreurs, vulnérables, est impressionnante.

Les plus chanceux font du tout en un en présentant des dizaines d'erreurs sur la même page, dans différentes bases de données. Au cas où le besoin s'en ferait sentir ces erreurs sont recyclables en jolies failles XSS...

Il n'y a qu'à injecter du javascript dans la requête, lors de l'affichage du message d'erreur le code est inclus dans la page!

Lancé, il est également possible de rechercher des avertissements de la fonction "include". En scriptant la chose, et en comparant l'URL proposée et la page, on peut trouver, sisi, des failles includes. La même que tout le monde croyait morte et enterrée semble se porter bien...


Convergence vers moi de regards noirs: "pourquoi rechercher des failles ainsi? N'as tu jamais fait d'erreur en programmant? et tout et tout..."
Cette recherche avait deux objectifs, le premier était de tester le comportement de google face à la recherche de pages "d'erreurs dangereuses", et bien il ne réagit pas, contrairement à des recherches de types


inurl:"machin_truc.php?var_vuln=" nom_de_l'app_vulnérable


Là Google mettrait brusquement fin à la recherche avec un message d'alerte (notamment pour lutter contre les malwares exploitant des failles connues comme "zero day").
Ici donc rien...
Le second objectif était de démontrer la terrible dangerosité des applications, surtout sur le web, un peu trop bavardes. Il y a quelques jours, un mode Verbose/Debug zêlé sur Dailymotion a révélé au grand public tout un fichier header, avec IP, logins et passwords internes!

Même si cacher les sorties d'erreur de ses scripts ne constitue pas une protection en soit, c'est tout de même un minimum, histoire de ne pas hurler à qui voudrait le savoir, que votre site est vulnérable...

Aucun commentaire: