Confidence - (19-20.11 2009 Warszawa)
Język: polski | english


Chema Alonso

Temat: How easy SQL Injection bugs defeat the most famous Web vulnerability scanners

Język: angielski

Bio:
Chema Alonso jest Inżynierem Komputerowym na Rey Juan Carlos Univesity oraz Inżynierem Systemowym na Politecnica University w Madrycie. Przez ostatnie 6 lat pracował jako konsultant bezpieczeństwa a od 2005r do dziś był konsekwentnie nagradzany tytułem „Najbardziej wartościowy profesjonalista Microsoft” Często występuje na konferencjach dotyczących bezpieczeństwa jako specjalista Microsoft. Obecnie pracuje nad praca doktorską dotyczącą Blind Techniques.

Ostatnie wystąpienia:

  • LDAP Injection & Blind LDAP Injection attacks: BlackHat Europe 2008 [Amsterdam, Holland], DeepSec 2008 [Vienna, Austria] and OWASP Spain [Barcelona, Spain].
  • Time-Based Blind SQL Injection using heavy Queries: Defcon 16 [Las Vegas, USA]
  • Remote File Downloading using Blind Techniques: Toorcon X [San Diego, USA]
  • Replaying with (Blind) SQL Injection vulnerabilities: HackCon#4 [Oslo, Norway], Yahoo! Security Week [San Francisco, USA] and SchmooCon 2k9 [Washington DC, USA]
  • Tactical Fingerprinting using metadata, hidden info and lost data: Black Hat Europe 2009 [Amsterdam, Holland] and Defcon 17 [Las Vegas, USA]
  • Connection String Attacks: Ekoparty 5 [Buenos Aires, Argentina]

 

Abstrakt:
W swojej prelekcji Chema pokaże w jakich okolicznościach scannery podatności na ataki zawodzą. Podatność na iniekcje SQL na ślepo z wykorzystaniem odwrotnych zapytań SQL lub zależnych czasowo podatności w bazach danych bez funkcji opóźnień czasowych Chema zaprezentuje także jak ważni są nadal pentesterzy w testach bezpieczeństwa Black Box.

Agenda:

  • Czołówka scannerów podatności na ataki
  • Odwrotne iniekcje SQL: Czemu ludzie zakładają ze wszyscy źli developerzy programują w ten sam sposób. Ta część prelekcji poświęcona będzie pokazaniu przykładów poprawnych zapytań SQL, które nie są brane pod uwagę przez scannery podatności na ataki.
    • Przykłady:  AppScan, Acunetix, w3af, wapiti, Paros,.. chema pokaże jak wszsytkie te scannery zawodzą w wykryciu niektórych podatności na iniekcje SQL na ślepo (Bilnd SQL Injection) w aplikacjach sieciowych pracujacych na MS SQL Server oraz Oracle…, i jak udaje im się wykryć te luki w bazach danych MySQL.
  • Arytmetyczna iniekcja SQL: Ta część prelekcji pokaże jak używając jedynie logiki matematycznej prawda/fałsz wykryć podatność na iniekcje SQL na ślepo w odwróconych zapytaniach SQL.
    • Przykłady: Division by zero, Type Overflow, Sums and subs.
  • Zależne czasowo iniekcje SQL na ślepo używając ciężkich zapytań: (Time-Based Blind SQL Injection using heavy Queries): W tej części prelekcji Chano pokaże, że konieczne jest testowanie zależnych czasowo iniekcji SQL na ślepo używając ciężkich (dużych?) zapytań w niektórych środowiskach bez funkcji opóźnień czasowych, takich jak MS Access, DB2 lub połączeń Oracle pozbawionych wsparcia PL/SQL .
    • Przykłady: Oracle, DB2, Access
    • Przykłady: Marathon Tool: Open Sourcowe narzędzie służące do testowania podatności na czasowo zależne iniekcje SQL na ślepo używając ciężkich zapytań.
  • Podsumowanie