Le moteur de recherche Google utilisé pour des injections SQL
Un expert en sécurité présente un scénario d'attaque

Le , par Hinault Romaric, Responsable .NET
Les pirates ne manquent pas d’idées pour parvenir à leur fin. Les robots d’indexation du moteur Google auraient été exploités par certains pour effectuer des attaques par injection SQL.

Qu’allez-vous faire si un robot d’indexation légitime de Google a été utilisé pour attaquer votre site ? Devrez-vous bloquer le bot (bloquant par la même occasion l’indexation de votre site), ou autoriser le trafic malveillant ?

C’est l’épineuse question à laquelle a été confronté le cabinet de sécurité Sucuri, suite à des activités louches sur le site d’un client. Après des investigations, Sucuri s’est rendu compte que le bot Google était à l’origine du problème.

Dans un billet de blog, Daniel Cid, PDG de Sucuri, présente de façon détaillée un scénario d’injection SQL (SQLI) en utilisant le bot Google. « Supposons que nous avons un hacker, son nom est John », écrit Cid.

John parcourt internet et retrouve suffisamment de données pour créer une attaque en direction du site B. John, qui n’est pas un novice dans le piratage, sait que pour mener une attaque réussie, vous devez effacer vos traces et empêcher qu’on remonte jusqu’à vous.

Très futé, plutôt que de lancer lui-même des requêtes vers le site B, John se contente de créer sur son site un lien comportant des attaques SQLI. Ensuite, il laisse la sale besogne aux robots d’indexation Google, ainsi qu'à ceux utilisés par les autres moteurs de recherche (Bing, Yahoo, etc.), car ils n’ont aucun moyen de savoir si le lien est mal-formé ou s’il est légitime.

Code : Sélectionner tout
1
2
3
 
66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q% 
20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Lorsque le responsable du site affecté se rendra compte de l’attaque, l’analyse de ses logs permettra de constater que l’injection SQL provient du bot Google.

Code : Sélectionner tout
1
2
3
4
5
6
7
8
 
$ host 66.249.66.138 
138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com. 
 
NetRange:       66.249.64.0 - 66.249.95.255 
CIDR:           66.249.64.0/19 
OriginAS:        
NetName:        GOOGLE
Daniel Cid affirme dans son billet de blog avoir informé Google à ce sujet. Le géant de la recherche n’a pas encore fourni de réponse.

Source : Sucuri

Et vous ?

Qu'en pensez-vous ? Et si vous êtes face à une telle situation, comment allez-vous procéder ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de DelphiManiac DelphiManiac - Membre émérite https://www.developpez.com
le 06/11/2013 à 17:40
Citation Envoyé par Hinault Romaric  Voir le message
Et vous ?

Qu'en pensez-vous ? Et si vous êtes face à une telle situation, comment allez procéder ?

Que la faille soit mise en évidence par un robot de google (ou n'importe quel robot) ou que l'exploitation de la faille provienne d'une adresse IP lambda, faille il y a.

La seule solution, corriger la faille !!
Avatar de Dominik94 Dominik94 - Membre régulier https://www.developpez.com
le 06/11/2013 à 18:14
euh, un cabinet de sécurité qui n'a même pas testé, dès le début de l'audit, la sécurité des applis
Avatar de dahtah dahtah - Membre éclairé https://www.developpez.com
le 06/11/2013 à 18:31
C'est une tres vieille attaque connue depuis 2001, voir phrack.

Encore des gars qui decouvre l'eau chaude.
Avatar de TNT89 TNT89 - Membre confirmé https://www.developpez.com
le 06/11/2013 à 21:15
Question très bête : les bots de Google ne trimbalent pas un HTTP_REFERER comme tous les autres clients?
Avatar de atha2 atha2 - Membre éprouvé https://www.developpez.com
le 06/11/2013 à 22:46
Malin comme attaque, après j'imagine qu'on ne peux pas récupérer de donnée à part en spécifiant un serveur de réception mais dans ce cas là, il n'y a plus de masquage des traces. Mais ça reste suffisant pour faire un drop database.

@TNT89 : d'après ce que je viens de lire, c'est le serveur source (de l'attaquant ici) qui spécifie cette propriété (ou pas). Donc à part demander à Google, quel site son bot visitait avant, il n'y a pas vraiment de moyen de trouver l'attaquant.
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 07/11/2013 à 0:16
C'est comme ça que je me retrouve aussi avec un nombre important d'erreur 404 sur des adresses bizarres avec des jsessionid (mon site est en PHP), script ou autres trucs qui ne peuvent pas passer (ça ne vise visiblement pas du PHP) ressemblant à de l'injection XSS ou SQL, mais qui me pourrissent bien mes logs d'erreurs.

Ce qui m'étonnent c'est qu'il découvre ça que maintenant... Ça fait des années que je vois ça dans mes logs.
Avatar de grunk grunk - Modérateur https://www.developpez.com
le 07/11/2013 à 12:47
Qu’allez-vous faire si un robot d’indexation légitime de Google a été utilisé pour attaquer votre site ? Devrez-vous bloquer le bot (entraînant par la même occasion l’indexation de votre site), ou autoriser le trafic malveillant ?

Dans la logique on corrige la faille. Le danger c'est pas la source de l'attaque c'est qu'il y'ai une faille exploitable.
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 07/11/2013 à 13:33
Citation Envoyé par grunk  Voir le message
Dans la logique on corrige la faille. Le danger c'est pas la source de l'attaque c'est qu'il y'ai une faille exploitable.

Je pense que certains n’ont pas bien compris l'article. Pour trouver des failles, les types utilisent GoogleBot pour ne pas se faire repérer. Bien sûr que s’il y a une faille il faut le corriger, mais on n'est jamais à l’abri d'en avoir une surtout quand le code du site fait des centaines de milliers de lignes. Là, c'est juste que les types qui les cherchent ne seront pas démasqués, vu qu'il passe par un tiers que l'on ne peut bloquer. De toute façon, Google ne pourra rien faire, rien n’indique qu'il s'agit d'injection ou d'une requête légitime, surtout dans le cas de XSS.

En tout cas, il est toujours utile d'aller voir le log d’erreur 404, ça permet de voir les choses étranges qui y sont requêtées et vérifier qu'il n'y a pas de problème sur les cas suspects.
Avatar de Ottakar Ottakar - Membre régulier https://www.developpez.com
le 15/11/2013 à 10:48
Sans dire de bêtise, si le Google bot a fait sont travail, il a du référencer le site de John avec les fameux liens, du coup avec les infos dans les log de la cible, en faisant une recherche Google, on devrait retrouver le site John, non?
Avatar de TotemRajal TotemRajal - Nouveau membre du Club https://www.developpez.com
le 20/11/2013 à 23:38
C'est une trés vieille attaque connue depuis 2001, voir phrack.
Encore des gars qui découvre l'eau chaude.

Bah faut bien justifier le salaire de ceux qui ne servent a rien
Offres d'emploi IT
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil