¿Algún efecto residual después de que se haya ejecutado SQLMAP?

Navega tus respuestas
0

Hace algún tiempo, se realizaron pruebas de penetración en nuestro sitio web, y una de las herramientas utilizadas fue SQLMap

Fue ejecutado por una consultora de seguridad, pero desafortunadamente no nos lo notificaron de antemano. Entonces, viendo que estaban en medio de enumerar las tablas en nuestra base de datos, lo tratamos como una penetración genuina y bloqueamos su IP.

El entorno en cuestión está basado en Windows con un servidor web IIS y un servidor de base de datos SQL Server 2012.

Hace poco estuve revisando la documentación de SQLMap y me alarmé un poco al ver las referencias a Metasploit y la carga de archivos binarios. Hasta ahora pensé que sqlmap era un escáner pasivo que expondría datos que antes se consideraban seguros, pero ahora me preocupa que el hecho de ejecutar SQLMap pueda haber dejado atrás nuevas vulnerabilidades.

Las máquinas están parcheadas regularmente, detrás de firewalls dedicados y tienen antivirus instalados (por lo que vale), por lo que estamos tomando lo que pensamos que eran precauciones razonables.

¿Hay alguna evidencia simple que buscar o una herramienta de diagnóstico para ver si somos más vulnerables de lo que pensábamos?

    
pregunta Michael12345 04.02.2014 - 00:49
fuente

2 respuestas

3

La vulnerabilidad de Inyección de SQL se debería haber informado en el informe de prueba del lápiz junto con una guía sobre cómo solucionarlo.

Volvería a los evaluadores de lápiz y les preguntaría si tiene alguna preocupación sobre lo que se hizo, si no fueron más allá de enumerar las bases de datos, las cargas útiles de Metasploit no deberían haberse cargado en el servidor, pero definitivamente ir Vuelve con ellos y pregunta si tienes alguna duda.

Debería poder ver en el informe cómo explotaron la vulnerabilidad y, a partir de la información proporcionada, debería poder reproducirla usted mismo.

    
respondido por el airloom 04.02.2014 - 02:02
fuente
1

Según la documentación , una de las configuraciones de sqlmap es risk .

  

Esta opción requiere un argumento que especifique el riesgo de las pruebas a realizar. Hay cuatro valores de riesgo. El valor predeterminado es 1, que es inocuo para la mayoría de los puntos de inyección de SQL. El valor de riesgo 2 agrega al nivel predeterminado las pruebas para inyecciones de SQL basadas en el tiempo de consultas pesadas y el valor 3 también agrega pruebas de inyección de SQL basadas en OR.

     

En algunos casos, como una inyección de SQL en una declaración de ACTUALIZACIÓN, inyectar una carga útil basada en OR puede llevar a una actualización de todas las entradas de la tabla, que ciertamente no es lo que quiere el atacante. Por esta razón y por otras, se ha introducido esta opción: el usuario tiene control sobre qué cargas útiles se prueban, el usuario puede elegir arbitrariamente utilizar también las potencialmente peligrosas. De acuerdo con la opción anterior, las cargas útiles utilizadas por sqlmap se especifican en el archivo textual xml / payloads.xml y usted es libre de editar y agregar las suyas.

por lo tanto, dependiendo de las opciones con las que hayan probado su sitio, sus datos podrían haber sido afectados. Sin embargo, como @airloom debe poder preguntar a los evaluadores de bolígrafos cómo han probado su sistema y qué daño potencial podría haber ocurrido.

    
respondido por el SilverlightFox 04.02.2014 - 10:43
fuente

Lea otras preguntas en las etiquetas

HTTPS Proxy Everwhere? ¿Qué tan seguros son los nuevos TLD (.us, .io, ...) y se comparan con .com? [cerrado]