Otomatize SQL Enjektörleri Haftası - ardından
Muhtemelen hepiniz haberdarsınız incelediğimiz otomatize SQL enjektörlerinin raporlarını OWASP-TR maillisti ve http://www.webguvenligi.org dan yayınlıyoruz. Yok eğer haberdar değilseniz, yani bu siteyi takip edip bahsettiğim yerleri takip etmiyorsanız çok şey kaçırıyorsunuz demektir.
Kasım 2007 itibariyle Bedirhan Urgun'dan bir mail üzerine hikayemiz başladı. Okuluma kadar gelip, bana daha önceden hazırladığı vmware imajını teslim etti, kaba hatlarıyla olayı konuştuk ve ayrıldık. Gerçi her ne kadar test ortamını (vmware imajı) almış olsam da adam akıllı çalışmaya semester itibariyle başlayabildim.
Aksiyona başlarken temel amacımız bunların karşılaştırmasını yapmaktı, fakat araçlara tam anlamıyla hakim olmadan bu tip bir karşılaştırma yapılamazdı. Bundan dolayı oturup bu araçları iyi şekilde kullanma / öğrenme işine girdik.
Kısa süre sonra karşılaştırma yapılacak metrikleri belirledik ve içlerini doldurduk. Metrikleri oluştururken araçların manuellerinden ve kişisel tercübelerimizden faydalandık. En önem verdiğimiz kısım araçların kullandıkları arama algoritmaları ve bu algoritmaların verimliliğiydi. Yaptıkları kontroller, arama yaptıkları karakter setleri gibi bir karakteri tespit etmek için yapılması gereken istek sayısını algoritmadan sonra çok önemli şekilde etkilen faktörleri inceledik.
En çok zorlandığımız kısım raporların ne şekilde sunulacağı idi. Karşılaştırma raporunu inceleyenlerin araçlar arasındaki farkları rahat şekilde görebilmesini arzuluyorduk ki bir türlü düzgün bir rapor formatı oluşturamadık ve her aracın raporunu teker teker yayınlamaya karar verdik. Raporları oluştururken google-docs kullandık.
Bu süreçte araç yazarları ile iletişime geçtik. Absinthe'nin yazarı Nummish'e mail attım, fakat cevap gelmedi. Absinthe; kör sql enjeksiyonu benim kullandığım ilk araçtı, 2 yıl önce kullanmıştım ilk olarak. Zannımca literatürün de ilk araçlarından biri olabilir. Kullandığı arama algoritmasını hala garipsiyorum. ASCII tablosuna göre 255'ten büyük karakter yokken aramayı 0-19433 arasında yapmasının mantığını hala çözebilmiş değilim. Tabii ki başka bir encoding sisteminde bu arama işe yarayabilir ama bunun seçimini kullanıcıya yaptırmamasında gariplik mevcut.
Haricinde Ferruh Mavituna ile iletişime geçtim, henüz beta durumda olan BSQL Hacker'ın analizini de ben yapıyordum. Araçla ilgili söylemek istediğim şey tüm bugları düzeltilip piyasaya çıktığında diğer araçlardan çok daha iyi olacağı ve bu araçlar arasında liderliği alacağı kesin. Çünkü SQL Enjeksiyonu açıklarını en temiz şekilde otomatize eden araç bu.İstediğiniz gibi atak modülü yazılabilmesi, SQL sorgunun istediğiniz gibi düzenlenebilmesi aracı diğerlerinden çok ciddi biçimde ayırıyor.Açıkçası aracı ilk kullandığımda aklımda oluşan isim "Metasploit for SQL Injection" olmuştu.Önemli bir ihtiyaç çok güzel şekilde tespit edilip, çözüm için ortaya güzel bir şeyler koyulmuş. Buradan kendisini tebrik ve yardımları için kendisine teşekkür ederim.
Tüm bunlar haricinde tübitak'a gidip gelmeler, öğle araları, yemekler ,sabrı ve her şeyden önce bu keyfi bana yaşattığı için Bedirhan Urgun'a da teşekkürlerimi sunarım.
Proje ana sayfasına şuradan ulaşabilirsiniz.