Yazarlar
Mesut Timur, mesut at h-labs
dot org,
www.h-labs.org
Bedirhan Urgun, urgunb at
hotmail dot com,
www.webguvenligi.org
Amaç
Bu çalışmadaki amaç, otomatize
çalışan Kör/Union SQL Enjeksiyonu araçlarını incelemek, analiz etmek ve
karşılaştırmaktır. İlişkisel veritabanlarından bilgiyi nasıl çektiklerini
(döktüklerini) incelemek, ürettikleri sorgu detaylarını analiz etmek
ve birbirine göre iyi ya da kötü yanlarını tespit etmek; bu kapsamdaki
araçlar [1] ile deneysel veya denetleyici çalışma
yapacak araştırmacılara/çalışanlara fikir verebilmesi açısından
önemlidir.
Kapsamı
İlk olarak 1998'de
Phrack dergisinde yer bulduğu söylenen [2] SQL Enjeksiyonu, web
uygulaması güvenliğinin temel saldırı konseptlerinden (vektörlerinden) biri
olup basit olarak bir web
uygulamasının ilişkisel veritabanı sunucusuna çalıştırılmak
üzere gönderdiği sorgulara müdahale ve bu sorguları manipüle edebilmektir.
Şüphesiz ki bir SQL Enjeksiyonu açığını gerçeklerken kullanılabilecek bir çok
teknik ve yeni bir tablo eklemekten, varolanları silmeye, sisteme kullanıcı
eklemekten özel bir sütundaki veriyi almaya kadar elde edilecek bir çok
avantaj vardır. Bu raporda ise değerlendirilecek otomatize SQL Enjeksiyonu
araçlarından kasıt, genel olarak kör/union SQL Enjeksiyonu ataklarından
faydalanarak veritabanındaki tüm/kısmi veriyi dökebilen programlardır.
Proje analiz kriterlerine buradan ulaşabilirsiniz.
Bu projede yan ürün
olarak analiz edilen araçların hataları bulunmuş, bazıları
düzeltilmiş ve yazarlarına bildirilmiştir. Bu bilgilere de yayınlandıkça
ilgili
raporlardan erişilebilir.
Yayın Şekli
Analizi yapılan 5 adet
aracın raporları, her gün 1 tanesi yayınlanmak kaydıyla 10-15 Mart tarihleri
arasında http://www.webguvenligi.org ve OWASP-TR e-posta listesi uzerinden
yayınlanacaktır. Bu bireysel raporlardan sonra araçların performansları
(belirli verileri dökmek için ürettikleri istek sayıları) ayrıca
karşılaştırmalı olarak
yayınlanacaktır.
Bütün raporlar (bu
dahil olmak üzere)
google docs
kullanılarak üretilmiştir.
Araçlar
Çalışma dahiline alınan
araçların piyasadaki diğer muadilleri arasından seçilirken özel şartlar
aranmamıştır. Çalışmaya dahil olması için "Veritabanı Döküm Aracı" olması
yeterlidir. Projenin yayınlanan bu halinde 5 adet araç değerlendirmeye
alınmıştır;
10 Mart 2008 - BSQL Analizi
11 Mart 2008 - SqlGet Analizi
12 Mart 2008 - SqliX Analizi
13 Mart 2008 - Absinthe Analizi
14 Mart 2008 - Sqlmap Analizi
15 Mart 2008 - Test Veritabanları Bilgi
15 Mart 2008 - SQL Enjektörleri Performans Analizi
İş Bölümü
Proje fikri ve test
ortamı Bedirhan arafından hazırlanmış, proje fikrinin geliştirilmesi, araç
seçimi ve analizleri Mesut ve Bedirhan
tarafından gerçekleştirilmiştir.
Proje Geleceği
Analiz ve incelemeler için
çeşitli kriterler belirlenmiştir. Bu kriterlere uygun olarak (ekleme / çıkarma
yapılabilir) yapılacak diğer araçların analizleri projeye eklenebilir. Eğer
böyle bir çalışma yapmak isterseniz proje sorumlularına e-posta ile
ulaşabilirsiniz.
Hatalar & Yanlışlar & Kullanım Şartları
Elbette raporlarımızda dil bilgisi
hataları ve hatta bilgi eksiklikleri / hataları olabilir. Eğer bir hata
farkederseniz, lütfen raporu yazan kişiye e-posta atınız. Her raporun üzerinde
yazan kişinin iletişim bilgileri mevcuttur. Proje sadece ve sadece
bilgilendirme amacı gütmektedir. Üretilen raporlarda bulunan bilgiler
kesinlikle saldırı amaçlı kullanılmamalıdır, yazarlar bu gibi durumlardan
sorumlu değildirler.
Referanslar
[1] http://www.security-hacks.com/2007/05/18/top-15-free-sql-injection-scanners
[2] http://www.ngssoftware.com/papers/sqlinference.pdf
Zaman Çizelgesi
01/11/2007 - Proje
Fikrinin Çıkışı
15/11/2007 - Test Ortamının
Hazırlanması
20/01/2008 - Aktif
Olarak Çalışılmaya Başlanması
02/02/2008 - Değerlendirmeye
Alınan Araçların Yazarları ile Bağlantı Kurulması
28/02/2008 - Raporların
Tamamlanması
03/03/2008 - Raporların Özel
Yayını ( Araç yazarlarına)
08/03/2008
- Manifestonun Yayınlanması, Projenin Halka Yayını
(v1.00)
10/03/2008
- Otomatize SQL Enjektörleri Haftası Başlangıcı (Yerel)
15/05/2008
- Otomatize SQL Enjektörleri Haftası Sonu (Yerel)