Eventuali effetti residui dopo l'esecuzione di SQLMAP?

Naviga le tue risposte
0

Qualche tempo fa, i test di penetrazione sono stati eseguiti sul nostro sito Web e uno degli strumenti utilizzati era SQLMap

È stato eseguito da una società di consulenza sulla sicurezza, ma sfortunatamente non ci ha informato in anticipo. Quindi, visto che erano nel mezzo dell'enumerazione delle tabelle nel nostro database, l'abbiamo trattato come una vera penetrazione e bloccato il loro IP.

L'ambiente in questione è basato su Windows con un server Web IIS e server di database SQL Server 2012.

Recentemente ho esaminato la documentazione per SQLMap ed ero un po 'allarmato nel vedere i riferimenti a Metasploit e nel caricamento dei binari. Fino ad ora pensavo che sqlmap fosse uno scanner passivo che avrebbe esposto dati precedentemente considerati sicuri, ma ora sono preoccupato che l'azione di eseguire SQLMap possa aver lasciato dietro di sé nuove vulnerabilità.

Le macchine vengono regolarmente riparate, dietro firewall dedicati e sono installati scanner antivirus (per quello che vale), quindi prendiamo le precauzioni ragionevoli.

C'è qualche semplice prova da cercare o uno strumento diagnostico da eseguire per vedere se siamo più vulnerabili di quanto pensassimo?

    
posta Michael12345 04.02.2014 - 00:49
fonte

2 risposte

3

La vulnerabilità di SQL Injection avrebbe dovuto essere riportata nel report del test penna insieme alle istruzioni su come risolverlo.

Vorrei tornare ai tester delle penne e chiedere loro se avete qualche preoccupazione su cosa è stato fatto, se non sono andati oltre l'enumerazione dei database allora i payload metasploit non avrebbero dovuto essere caricati sul server ma sicuramente andare torna da loro e chiedi se hai dei dubbi.

Dovresti essere in grado di vedere nel report come hanno sfruttato la vulnerabilità e dalle informazioni fornite dovresti essere in grado di riprodurlo da solo.

    
risposta data 04.02.2014 - 02:02
fonte
1

In base alla documentazione una delle impostazioni di sqlmap è risk .

This option requires an argument which specifies the risk of tests to perform. There are four risk values. The default value is 1 which is innocuous for the majority of SQL injection points. Risk value 2 adds to the default level the tests for heavy query time-based SQL injections and value 3 adds also OR-based SQL injection tests.

In some instances, like a SQL injection in an UPDATE statement, injecting an OR-based payload can lead to an update of all the entries of the table, which is certainly not what the attacker wants. For this reason and others this option has been introduced: the user has control over which payloads get tested, the user can arbitrarily choose to use also potentially dangerous ones. As per the previous option, the payloads used by sqlmap are specified in the textual file xml/payloads.xml and you are free to edit and add your owns.

quindi, a seconda delle opzioni con cui hanno testato il tuo sito, i tuoi dati potrebbero essere stati influenzati. Tuttavia, come indicato da @airloom , dovresti essere in grado di chiedere ai tester della penna come hanno testato il tuo sistema e cosa il danno potenziale potrebbe essersi verificato.

    
risposta data 04.02.2014 - 10:43
fonte

Leggi altre domande sui tag

Company Laptop e iTunes / iPhone La piattaforma bancaria accetta password contenente sottoinsieme di password reale [duplicato]