-
قام Mohammad AL_Jararwah بنشر تحديث في المجموعة
منذ 4 ساعةeCIR Study Group السلام عليكم
بلابات الsplunk و تحديدا Dataset ال botsv1 لقيت ان الاتاكر حاول يعمل SQL injection
ف حاولت اني اعرف الاتاكر عرف يستغل الثغره و يدخل للنظام
فاللي لقيته ان بعمليات ال SQL injection الاتاكر كان دايما يجيله http.status=400 و معناها Bad request
ف هل عطول دي معناها ان الاتاكر مقدرش مقدرش يستغل اي ثغرة sql injection ؟
و دي الصور بتاعت الsplunk
1 تعليق-
هلا محمد
اللي بيحصل هنا إن كل محاولات الـ SQL Injection اللي عملها الـ attacker كانت بترجع بحالة http.status = 400، وده معناه إن الطلبات اللي بعتوها للسيرفر كانت غلط أو مش مفهومة بالنسبة للسيرفر، يعني السيرفر مش قادر يتعامل معاها، وده غالبًا بيحصل لو الـ payload بتاع الاتاكر مش مكتوب صح أو فيه خطأ في صياغة الطلب.
إيه معنى الـ 400 Bad Request؟
الـ 400 ده معناه إن الطلب اللي وصل للسيرفر فيه مشكلة في تكوينه، زي كأنه فيه غلطة في الكتابة، يعني مثلاً الـ SQL query مش مظبوطة أو فيه حرف ناقص، فالسيرفر بيرد إن الطلب ده مش فاهمه.هل ده معناه إنه مقدرش يستغل الثغرة؟
أيوه، لو كل المحاولات اللي عملها كانت بترجع 400، فده غالبًا معناه إنه مش عارف يستغل الثغرة، لأن السيرفر مش قادر ينفذ أي حاجة من اللي بعتها الاتاكر.
لكن برده خلّي بالك، ممكن يكون فيه أحيانًا حاجات زي الـ WAF (Web Application Firewall) اللي بيصد المحاولات دي وبيمنع الاستغلال، فممكن برده يكون الاتاكر اتمنع من استغلال الثغرة.
عشان تتأكد أكتر:
شوف الـ payloads اللي الاتاكر كان بيستخدمها، وحاول تحللها وتشوف إذا كانت كلها غلط فعلاً ولا فيه حاجة بتعدي.
لو عندك access للـ logs بتاعت السيرفر، شوف لو فيه أي حاجة غريبة حصلت، أو لو فيه طلبات تانية مش عادية.
تأكد إن الـ application بيستخدم طريقة حماية كويسة زي Parameterized Queries اللي بتمنع الـ SQL Injection.خلاصه الكلام دا كله وهو ان كل المحاولات رجعت 400، فده معناه بشكل كبير إنه الاتاكر فشل في إنه يستغل الثغرة، لكن برضه يفضل إنك تعمل شوية تحليلات إضافية عشان تتأكد 100%.
-
