Professor
Professional
- Messages
- 213
- Reaction score
- 22
- Points
- 18
База данных это упорядоченный набор структурированной информации, обычно хранятся в виде строк и столбцов формирующих таблицу. Эти данныe можно изменять, обновлять, контролировать и упорядочивать. В большинстве баз данных для записи и запросов данных используется язык структурированных запросов (SQL). В том числе в базах присутствуют персональные данные пользователей, на примере форумов: при прохождении регистрации вы заполняете форму с логином, паролем и прочим, эти данные в том числе, присутствуют в базе данных поскольку тот же логин и пароль необходим для входа на форум, а никнейм - для отображения.
Уязвимости. Существует множество типов баз данных и способов их взлома. Давайте поверхностно рассмотрим, откуда вообще берутся слитые базы данных, а точнее как их достают. На примере двух популярных уязвимостей
Итак, мы разобрались с тем, каким образом происходит получение доступа к базам данных(актуально не только для сайтов).Я описала самые базовые способы, направление куда шире и методы получения доступа актуализируются с каждым годом. Что дальше? Дамп - скачивание, если по простому и дальнейшее дехэширование, поскольку большинство современных баз хранятся в зашифрованном виде. В конечном результате мы имеем расшифрованную базу данных, которая может быть представлена как в виде емейл/логин:пароля, так и иметь расширенный вид, как это было при утечке базы Яндекса, где в сеть попала не только база пользователей Яндекс.Еды(включая номера телефонов,полные адреса,ФИО и т.д), но и исходники дочерних сервисов Такси,Директ,Почта,Диск,Алиса...
Пример с Яндексом выбран не случайно, как вы видите утечка может произойти даже с крупными компаниями, особенно если мы говорим о отечественных. На этот случай у меня есть история. Произошло это 4 года назад, парень запустил поиск уязвимостей через sqlmap и сам того не зная получил доступ к базам нескольких сайтов связанных с правоохранительными органами, после чего к нему приехали. Тем более о чем говорить, если такого рода уязвимости были оставлены на сайтах, которые должны быть защищены в большей степени.
Имея конечный результат работы, хакеру необходимо извлечь те или иные блага, один из вариантов это публичная утечка, как в вышеописанном примере, делается это для нанесения репутационного ущерба компании. Другие извлекают базы на продажу. Кто их покупает? Достаточно сервисов заинтересованных в ваших данных, не говоря уже о людях. Далеко ходить не надо, самый наглядный пример Глаз Бога, если вы введете какие-либо данные в глаз бога, которые использовались при заказе в Яндекс.Еде, увидите полную выдачу по человеку, который пользовался услугами доставки.
Подводим итог лекции. К сожалению напрямую повлиять на утечку мы не можем, на компенсацию в случае утечки рассчитывать не стоит. Тот же Яндекс обязали выплатить что-то около 5к рублей нескольким пострадавшим за утечку. Что делать? Насколько это возможно вводить временные или неверные данные, например если вы знаете что ФИ не проверяют в условной доставке при вручении, безопаснее указать не свои и временный телефон с почтой, чтобы в самом крайнем случае вас не смогли идентифицировать по персональным данным, ведь зачастую пользователи не то что не используют временную почту, используют свою личную, единственную, причем везде.
Уязвимости. Существует множество типов баз данных и способов их взлома. Давайте поверхностно рассмотрим, откуда вообще берутся слитые базы данных, а точнее как их достают. На примере двух популярных уязвимостей
- SQL-иньекция. Для начала злоумышленнику необходимо определить имеет ли база данных уязвимость, для этого понадобится: конкретная ссылка, либо ряд ссылок с целевого сайта, либо форма для входа, далее как один из вариантов, происходит поиск уязвимостей путем манипуляции в ручном или автоматическом режиме со строкой ввода или полями логина/пароля. Основной целью которой является найти параметр на которой база sql вернула бы ответ с ошибкой. Если это происходит — атаку можно осуществить. Дальнейшее взаимодействие возможно произвести с помощью утилиты для пентеста, называется она SQLMap
- XSS. Подразумевает, что вы можете запускать ваши собственные скрипты на сайтах, что позволяет манипулировать ресурсом и взаимодействовать с пользователями.
Итак, мы разобрались с тем, каким образом происходит получение доступа к базам данных(актуально не только для сайтов).Я описала самые базовые способы, направление куда шире и методы получения доступа актуализируются с каждым годом. Что дальше? Дамп - скачивание, если по простому и дальнейшее дехэширование, поскольку большинство современных баз хранятся в зашифрованном виде. В конечном результате мы имеем расшифрованную базу данных, которая может быть представлена как в виде емейл/логин:пароля, так и иметь расширенный вид, как это было при утечке базы Яндекса, где в сеть попала не только база пользователей Яндекс.Еды(включая номера телефонов,полные адреса,ФИО и т.д), но и исходники дочерних сервисов Такси,Директ,Почта,Диск,Алиса...
Пример с Яндексом выбран не случайно, как вы видите утечка может произойти даже с крупными компаниями, особенно если мы говорим о отечественных. На этот случай у меня есть история. Произошло это 4 года назад, парень запустил поиск уязвимостей через sqlmap и сам того не зная получил доступ к базам нескольких сайтов связанных с правоохранительными органами, после чего к нему приехали. Тем более о чем говорить, если такого рода уязвимости были оставлены на сайтах, которые должны быть защищены в большей степени.
Имея конечный результат работы, хакеру необходимо извлечь те или иные блага, один из вариантов это публичная утечка, как в вышеописанном примере, делается это для нанесения репутационного ущерба компании. Другие извлекают базы на продажу. Кто их покупает? Достаточно сервисов заинтересованных в ваших данных, не говоря уже о людях. Далеко ходить не надо, самый наглядный пример Глаз Бога, если вы введете какие-либо данные в глаз бога, которые использовались при заказе в Яндекс.Еде, увидите полную выдачу по человеку, который пользовался услугами доставки.
Подводим итог лекции. К сожалению напрямую повлиять на утечку мы не можем, на компенсацию в случае утечки рассчитывать не стоит. Тот же Яндекс обязали выплатить что-то около 5к рублей нескольким пострадавшим за утечку. Что делать? Насколько это возможно вводить временные или неверные данные, например если вы знаете что ФИ не проверяют в условной доставке при вручении, безопаснее указать не свои и временный телефон с почтой, чтобы в самом крайнем случае вас не смогли идентифицировать по персональным данным, ведь зачастую пользователи не то что не используют временную почту, используют свою личную, единственную, причем везде.
