Strona zablokowana na ataki SQL Injection a nadal jest hackowna ...

[sztyrlic224]

Witam
Otóż moim problemem jest to że ktoś hakuje w pewnej grze konta i twierdzi że luka jest bardzo prosta do znalezienia.

Ja siedze juz pare godzin w poszukiwaniu materiałów na temat ataków SQL Injection i coś nie coś znalazłem...


Ale gdy chciałem coś wykonać na tej stronce to otrzymuje komunikat :

WebKnight Application Firewall Alert


Your request triggered an alert! If you feel that you have received this page in error,
please contact the administrator of this web site.

What is WebKnight?
AQTRONIX WebKnight is an application firewall for web servers and is released under
the GNU General Public License. It is an ISAPI filter for securing web servers by blocking
certain requests. If an alert is triggered WebKnight will take over and protect the web server.


For more information on WebKnight: http://www.aqtronix.com/WebKnight/

AQTRONIX WebKnight

najgorsze jest to że gram w tę grę którą jest KalOnline 2,5 roku i w każdej chwili ktoś mnie moze schaczyć

chodzi o stronkę www.kalonline.com

zastanawiam się jak oni mogą hackowac tę stone... SQL Injection przez przeglądarke zablokowane :/

jakim sposobem można wciągnąc za pomocą tej strony Loginy i hasła

dodam wypowiedź jednego hackera z jednego forum:


dałoby radę wyciągnać baze danych z tej gry
np:
www.kalonline.com/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM
INFORMATION_SCHEMA.TABLES--

www.kalonline.com/index.asp?id=10 SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

[andrew8666]

Z tego co czytam na tym obrazku to tam pisze że właśnie załatali te dziury:

Fix:
Inix fixed this exploit by two work-around solutions:
1.Instaled web knight...

[TQM]

work-around nie znaczy zalatania... znaczy zalozenie latki ktora na razie zalatwia problem Tylko teraz czekac az ktos wyciagnie cos co unieszkodliwi WebKnight'a albo przejdzie przez jego filtr... jednak lepsze to niz nic - chwali sie ze cokolwiek zrobili w tej materii


Wlasnie ogladam co to ten WebKnight i mi nieco szczena opadla... albo autorzy sa odwazni albo glupi... albo udalo im sie znalezc "swietego grall'a"...

AQTRONIX WebKnight is an application firewall for IIS and other web servers and is released under the GNU General Public License. More particularly it is an ISAPI filter that secures your web server by blocking certain requests. If an alert is triggered WebKnight will take over and protect the web server. It does this by scanning all requests and processing them based on filter rules, set by the administrator. These rules are not based on a database of attack signatures that require regular updates. Instead WebKnight uses security filters as buffer overflow, SQL injection, directory traversal, character encoding and other attacks. This way WebKnight can protect your server against all known and unknown attacks. Because WebKnight is an ISAPI filter it has the advantage of working closely with the web server, this way it can do more than other firewalls and intrusion detection systems, like scanning encrypted traffic.

1. Po pierwsze to dodatek do IIS'a (zle doswiadczenia - sic!)
2. Dziala to jak preprocessor - cos jakby odpowiednik mod_security w apache'u - widac W KONCU windowsowy IIS doczekal sie czegos Open Source co pelni podobna funkcje jak mod_security... to sie chwali!
3. Zdanie pogrubiona czcionka wraz z poprzedzajacym je sugeruje moim zdaniem delikatnie, ze "wycinamy wszystko co jest podejrzane tak na wszelki wypadek - wtedy na pewno nikt Cie nie trafi nieznanym jeszcze atakiem (0-day) wiec jak bedzie false-positive to sie nie zdziw" - troche malo biznesowe podejscie... security by obscurity - ale przyznam, ze czesto dziala lepiej niz by sie mozna spodziewac...

Co do nieodzownych zalet nalezy podac ze jest to to zintegrowane z serwerem, wiec widzi pelen kontekst zapytan WWW - czy to idzie przez SSL czy nie, filtr widzi juz odszyfrowana tresc (a tak np programy antywirusowe nie moga skanowac poczty gdy ta idzie przez SSL).

Ogolnie z calego postu najciekawsza dla mnie informacja to ten WebKnight :-) Nie znalem go wczesniej...

[sztyrlic224]

2. Changed permisision of dxx.UpxxxxSnGxxxxxxxxx to 0. (Noone can use this procedure via Web interface)

zastanawia mnie fakt przez jaki inny interfejs można tę procedurę wykonać skoro interfejs Web jest zablokowany ....

topic umieściłem dlatego bo wypowiedz tego hackera jest z 5 stycznia 2007

a do tej pory od groma kont już hacknęli :/

btw: dla uwiarygodnienia podaje link do forum gdzie hacker sie wypowiada
http://www.kalhq.com/forums/index.php?showtopic=30900

9 post kolesia o nicku YOSAKI


albo ten post (też YOSAKI)
http://www.kalhq.com/forums/index.ph...ic=31249&st=27

żeby przybliżyć temat:

ID to login którego używa się na stronie i podczas logowania do gry
password analogicznie
Secret Number to "klucz" który umożliwia zmianę hasła do konta albo utworzenie nowego hasła
po zalogowaniu się do gry na dany ID i hasło mamy możliwość stworzenia 3 postaci ... każda o innym nicku ...

Nasuwa się kolejne Pytanie:

jak na podstawie nicku postaci w grze haker może znaleźć jego ID (login) ?

bo ten koleś pisał że na początku potrzebne mu było ID danej postaci żeby ją hacknąć (pisał że łatwo zgadnąć ID jeżeli jest takie same jak nick postaci będących na rankingu)

a potem że sam może znaleźć interesujące go ID ...

[TQM]

Jesli ID uzytkownika na rankingu jest tym samym ID ktore wystepuje przy jego postacich i jeszcze uzyjesz tego samego nicku na rankingu i dla jednej postaci to sprawa jest oczywista - ID bedzie to samo bo ta sama osoba

Sorry ale dalej nie mialem czasu sie wglebic - walcze z moimi wlasnymi demonami w pracy i czas zaczyna mnie gonic zanim inwestor sie zjawi :-/

[sztyrlic224]

jesli ID uzytkownika na rankingu jest tym samym ID ktore wystepuje przy jego postacich i jeszcze uzyjesz tego samego nicku na rankingu i dla jednej postaci to sprawa jest oczywista - ID bedzie to samo bo ta sama osoba

1. ID jest tylko jedno: to login do konta na stronie www oraz podczas logowania do gry

2. pamiętaj że na rankingu jest tylko 100 nicków ale grając w tą grę znasz tych postaci tysiące

dam przykład z życia wzięty ...

moje jedno konto ma

ID: zapałka
pass:tylw23
postacie w grze zapałka, mister, lolek

drugie konto to na przykład:
ID: 7536984
pass:rofle14
postacie w grze radekPL,michal,Etcre

kiedyś hackerzy łatwo hackowali konta których ID było łatwo zgadnąć na podstawie istniejących postaci
w tym momencie oba konta podobno łatwo można hacknąć

teraz hackerzy nie muszą zgadywać loginów (ID) bo sami umieją je chyba znaleźć (?)

Zatem: oba konta łatwo hackują

już mam tego dość ...
gram 2,5 roku w grze i muszę niektórym "du*pe lizać" żeby nie narobić sobie wrogów

inne kraje mają swoich hackerów to sie z nimi liczą w grze a Polacy nadal nie mają kogoś przed kim inni czuli by respect (

hmm żeby nie zaśmiecać głupotami o grze to poprosiłbym o napisanie na gg: 3954778 to wszystko wyjaśnię

żeby było ciekawiej w grze walutą płatniczą są geony.
przeciętny gracz ma 100 milionów geonów na koncie
1 milion geonów na ebay.com kosztuje 5$ ...

grasz człowieku grasz .... a te skubańce na tobie zarabiają