Καλησπέρα. Ένα διαφορετικό θέμα για σήμερα με σχέση το Cyber Security και την ασφάλεια συστημάτων διότι είναι πολύ σημαντικό να γνωρίζουμε και την ασφάλεια, παρά να ξέρουμε μόνο να κάνουμε επιθέσεις. Σήμερα σε αυτόν τον οδηγό θα πούμε πως μπορούμε να προστατέψουμε την Βάση δεδομένων μας και τα απόρρητα αρχεία από κάποιον κακόβουλο χάκερ με επίθεση SQL INJECTION σε POST method. Όσοι θέλετε να μάθετε και πως γίνεται μία τέτοιου είδους επίθεση, υπάρχουν κάποιοι οδηγοί στο φόρουμ. Ας μπούμε όμως στο θέμα μας. Το παράδειγμα θα σας το δείξω σε μία δική μου manual ιστοσελίδα η οποία τρέχει local με την βοήθεια του xampp. Να πω λοιπόν πως άνοιξα έναν apache server και ένα phpmyadmin από πίσω για database. (db = egasiasxol, host = localhost, table = users, columns = username-password). Μπορείτε να δείτε τους κώδικες html και php παρακάτω. Τι έχουμε στον κώδικα; Στον κώδικα έχουμε απλά input στην html τα οποία είναι textboxes για τον χρήστη έτσι ώστε να εισχωρίσει το username και το password και άλλο ένα input το οποίο είναι type=submit δηλαδή button έτσι ώστε να γίνει η σύνδεση σε περίπτωση που είναι σωστά τα στοιχεία (Όλα αυτά βρίσκονται σε ένα form στο οποίο χρησιμοποιούμε method=post. Στον php κώδικα επιτρέπουμε στην βάση να επικοινωνήσει μαζί του. Τι σημαίνει αυτό; να διαβάζει μέσα από την βάση το username και το password έτσι ώστε ελέγξει αν είναι σωστά τα στοιχεία για να πάρει πρόσβαση ο χρήστης στο λεγόμενο Dashboard, ή να μην πάρει. $sql = "select * from users where username='$user' and password='$passwd'"; Πάμε λοιπόν να δούμε που είναι το λάθος σε αυτόν τον κώδικα. Η απάντηση είναι πως δεν υπάρχει κάποιο λάθος, απλώς δεν υπάρχουν φίλτρα και έτσι ο χάκερ μπορεί να πάρει πρόσβαση στο σύστημα επειδή ο κώδικας μας δεν έχει φιλτράρει τα Symbols τα οποία μπορεί να χρησιμοποιηθούν ( ' κ.τ.λ). Πάμε λοιπόν να δούμε Live την επίθεση αλλά και την ασφάλεια. Πρώτα θα ξεκινήσουμε από την επίθεση. Ανοίγουμε το Burpsuite στο Linux μας, ανοίγουμε και έναν browser στον οποίο έχουμε βάλει σωστά τα proxies για να επικοινωνούν με το burp. proxy -> intercept Να προσέξετε το intercept να είναι στο "ON". Βάζουμε λοιπόν κάποια τυχαία cedentials με ένα "αυτάκι" στο τέλος και στο username και στο password. (π.χ username' , password'). Αφού πατήσουμε το κουμπί σύνδεση το burpsuite θα μας εμφανίσει κάποια αποτελέσματα με POST method. Πατάμε δεξί κλικ στα αποτελέσματα και επιλέγουμε copy to file έτσι ώστε να τα αποθηκεύσουμε σε αρχείο. Αφού πατήσουμε ονομάσουμε το αρχείο (στην περίπτωσή μας grhacking) και πατήσουμε save έτσι ώστε να αποθηκεύσει το αρχείο στο path το οποίο έχουμε επιλέξει, ανοίγουμε το sqlmap το οποίο είναι ένα απίστευτο κατά την γνώμη μου tool το οποίο θα μας βοηθήσει να κάνουμε αυτοματοποιημένα την επίθεση sql injection. Ανοίγουμε sqlmap και γράφουμε "sqlmap -r (για το αρχείο) grhacking --dbs (για να βρει το database) sqlmap -r grhacking --dbs POST parameter 'username' might be injectable (Πιθανή Βάση mysql). Για όσους δεν καταλάβατε βρήκε ευάλωτη την βάση μας κάτι το οποίο είναι πάρα πολύ σημαντικό. Γιατί; πάμε να δούμε παρακάτω. Αφού λοιπόν γράψουμε κάποιες εντολές για να βρούμε τα κατάλληλα tables και columns έτσι ώστε να τα κάνει dump, βλέπουμε τα αποτελέσματα... Με τα οποία ο χάκερ θα χαρεί αλλά εμείς θα κλαίμε... διότι με αυτά τα στοιχεία παίρνει πρόσβαση στο dashboard. username: mata , password = greekhacking Πάμε λοιπόν να δούμε πως μπορούμε να προστατέψουμε τα προσωπικά μας δεδομένα από αυτήν την επίθεση. Ξαναπάμε στον κώδικα τον οποίο έδειξα σε προηγούμενο screenshot, και βάζουμε τα φίλτρα. Θα σας εξηγήσω αφού δείτε την εικόνα. Εκεί που έχω βάλει τα slashes είναι το λεγόμενο comment το οποίο ο κώδικας δεν το βλέπει. Οπότε το προσπερνάμε. Δημιουργούμε ένα νέο variable το οποίο είναι το $userprevent και μέσα σε αυτό βάζουμε το φίλτρο mysqli_real_escape_string. Στις παρενθέσεις είναι το connection που το έχω ορίσει ως $conn και το $usr το οποίο έχω ορίσει για το POST του username πιο πάνω "$usr = $_POST['username'];" Κάνουμε το ίδιο και για το password. Αφού λοιπόν γίνει αυτό, το αμέσως επόμενο βήμα είναι να εφαρμοστούν τα variables για να δουλέψουν τα φίλτρα για να προστατευτεί η βάση μας. τα εφαρμόζουμε πηγαίνοντας στο $sql variable που έχουμε ορίσει για την επικοινωνία των στοιχείων με το POST method στα textbox τα οποία θα πληρκτρολογήσει ο χρήστης. Σας το έχω δείξει και με βελάκια. (Μπορείτε να δείτε τις διαφορές στο πάνω σκριν που έδειξα με κώδικα και σε αυτό το σκριν). Πάμε λοιπόν να ξανακάνουμε επίθεση για να δούμε τι θα γίνει πάλι. Όπως βλέπουμε το sqlmap δεν μπορεί να ανταποκριθεί διότι έχουμε πλέον βάλει φίλτρα και μας πετάει POST parameter does not seem to be injectable. [WARNING]. Και εννοείτα παρακάτω μας πετάει CRITICAL error και μας απορρίπτει. Αυτός ήταν ο οδηγός για το πως μπορείτε να προστατευτείτε από μία επίθεση SQL INJECTION σε POST method. Κάποια στιγμή θα βγάλω και για το πως να προστατευτείτε από SQL INJECTION επίθεση σε GET method. Ευχαριστώ όσους διαβάσατε μέχρι το τέλος, ελπίζω να μάθατε κάτι από εμένα και ελπίζω να το έγραψα και να το έδειξα όσο πιο αναλυτικά μπορούσα. Καλό Hacking (ηθικό φυσικά). 🙂

Επειδή ό,τι λέω το κάνω κάποια στιγμή, σας είχα πει όταν έκανα τον οδηγό για το POST METHOD ότι θα κάνω και οδηγό για το πως να προστατευτούμε από ένα SQL INJECTION attack σε GET METHOD. Τι εννοούμε GET? Εννοώ η πληροφορία που Παίρνω και όχι που δίνω στον Server όπως είναι το POST με login, register κ.τ.λ. Όπως έχουμε πει με τα google dorks inurl:.php?id=1 , που δίνουμε στην google να καταλάβει ότι θέλουμε να ψάξουμε στην αναζήτη ΜΟΝΟ ιστοσελίδες και σελίδες που έχουν ΜΟΝΟ παράμετρο ID στο URL τους... Ε αυτό θα κάνουμε σήμερα. Θα μάθουμε πως να μην τρώει MYSQL ERROR η σελίδα όταν βάζουμε το quote " ' " δίπλα από την παράμετρο. Π.Χ id=1' . Αφήνω λοιπόν την πολλή εξήγηση και πάμε να μπούμε στο ψητό. Εδώ του λέμε να πάρει το ID το οποίο το έχουμε ορίσει και user_id και μετά φτιάχνουμε ένα query με users όπου id=$user_id. Πρώτα απ' όλα βλέπουμε τον κώδικά μας. Έχουμε χτίσει ένα table γράφοντας κώδικα HTML ΜΕΣΑ ΣΤΗΝ PHP, και με τα $row που έχουμε ορίσει πιο πάνω από το foreach και $sql_run, του δείχνουμε να καταλάβει πως θέλουμε στα tables να εμφανίζετε ΚΑΘΕ χρήστης μέσα από την βάση. (θα δείτε παρακάτω σε screenshot). Ακριβώς από κάτω από αυτά τα $row, δίνουμε άλλο ένα row και το πιο σημαντικό γι αυτό το topic. Του λέμε όταν πατηθεί το «κουμπί» EDIT που θα υπάρχει στο table, να μας ανακατευθύνει ( href ) στην σελίδα edit.php (που έχουμε φτιάξει) αλλά όχι μόνο εκεί, αλλά και στην παράμετρο. Δηλαδή για παράδειγμα θέλουμε να κάνουμε edit τα στοιχεία του χρήστη MATA ο οποίος mata μέσα στην βάση σαν ID έχει τον αριθμό 64. Οπότε θα γράψεις στο url edit.php?id= (Και τον αριθμό του id του χρήστη μέσα στην βάση) $row['id']. Προφανώς το ID αν δεν ξέρετε πως το διαβάζει μέσα από την βάση, το διαβάζει διότι κάναμε πριν query "SELECT * FROM users". Δηλαδή; Επέλεξέ τα όλα (*) από το table users. Και αμέσως μετά τρέξαμε το $sql_run = mysqli_query($conn, $sql) (το sql ήταν το variable που είχαμε ορίσει για το query ( $sql = "SELECT * FROM users ). Εδώ έχουμε τα tables που είπα πρίν. Και με ID χρήστη τον αριθμό 64. (όσοι χρήστες υπάρχουν μέσα στην βάση τόσο θα αυξάνεται η λίστα). Πατάμε λοιπόν edit να δούμε τι γίνεται στο url. Όπως βλέπουμε, το URL δείχνει τον αριθμό 64 στην παράμετρο ID. Αυτό γίνεται επειδή πρίν στο href βάλαμε το $row['id'] όπως σας εξήγησα παραπάνω. Πάμε λοιπόν να βάλουμε ένα QUOTE στην παράμετρο να δούμε πως και ΓΙΑΤΙ αντιδράει η ιστοσελίδα με ERROR. Όσοι έχετε πάει να κάνετε SQL INJECTION επίθεση σίγουρα έχετε παρατηρίσει κάποιο τέτοιο error. To error αυτό ονομάζεται ERROR-BASED SQL INJECTION. Error based ονομάζεται όταν το quote (') «σπάει» το Syntax. Γι αυτό και γράφει "You have an error in your SQL Syntax". Πάμε να το εκμεταλλευτούμε αυτό; Θα είναι πανεύκολο γιατί ο απρόσεκτος Developer ξέχασε να βάλει τα φίλτρα στον κώδικά του οπότε εγώ σαν κακόβουλος θα μπορέσω να τον εκμεταλλευτώ... Πάμε και γράφουμε λοιπόν sqlmap -u "http://<target>.com/edit.php?id=1" --dbs Το --dbs είναι για να βρεί τις βάσεις δεδομένων. Μας πετάει cookies και πατάμε Y για να τα χρησιμοποιήσουμε. Πόσο ευχάριστο για εμάς ε; Εδώ μας λέει ΄΄οτι ΠΙΘΑΝΟΝ η παράμετρος ID να είναι ευπαθής και η ΠΙΘΑΝΗ Database είναι MySQL. Θέλουμε να κάνουμε skip τα άλλα payload tests για άλλες dbmses? Και πατάμε Yes. Διότι δεν χρειαζόμαστε κάτι άλλο. Τι είπαμε πριν; Error-based. Πάμε παρακάτω τα εξήγησα πρίν αυτά. Η παράμετρος ID είναι ευπαθής. Θές να τσεκάρεις κι άλλες παραμέτρους; (Δεν χρειάζεται οπότε NO) Τι κακό τον βρήκε....... Αν θυμάστε από τον προηγούμενο οδηγό η database λεγόταν ergasiasxol. Πάμε να μπούμε σε αυτήν γράφοντας sqlmap -u "http://<target>.com/edit.php?id=64" -D ergasiasxol --tables -D ergasiasxol για να μπούμε σε αυτήν την βάση, και το --tables για να μας εμφανίσει τα tables. Βλέπουμε πως υπάρχει το table users. Οπότε πάμε να μπούμε σε αυτό και να δούμε τα columns. sqlmap -u "http://<target>.com/edit.php?id=64" -D ergasiasxol -T users --columns Εδώ βλέπουμε τα columns. Εμείς χρειαζόμαστε μόνο το username και το password. Πάμε να τα κάνουμε DUMP για να τα δούμε. sqlmap -u "http://<target>.com/edit.php?id=64" -D ergasiasxol -T users -C username,password --dump Φτάσαμε στον στόχο μας. Βέβαια ο κωδικός είναι σε κρυπτογράφηση md5 έχω εξηγήσει εδώ πως το κάνουμε αυτό, οπότε απλά παίρνουμε το hash και το σπάμε (αν δεν υπάρχει σε online tool προτείνω crunch για να φτιάξετε λίστα). ############################################################ ΠΡΟΣΤΑΣΙΑ ########################################################### Πάμε λοιπόν τώρα να δούμε πως μπορούμε να προστατευτούμε από αυτήν την επίθεση. Πρέπει να πάμε ξανά στον κώδικά μας και να βρούμε που είναι το variable που έχουμε ορίσει για την $_GET['id']; . To user_id είναι το variable που έχουμε ορίσει για την GET. Το filtered_userid variable υπάρχει για να το προσθέσουμε μετά στο id=$filtered_userid στο query. Επίσης στο variable filtered_userid γράφουμε το εξής filter_var($user_id, FILTER_SANITIZE_NUMBER_INT); To filter_var είναι συνάρτηση της php η οποία χρησιμοποιείται για το φιλτράρισμα της μεταβλητής (variable). Στην περίπτωσή μας θέλουμε να φιλτράρουμε το variable $user_id που είναι της GET -> id=$row['id'] -> id=64 (στην προκειμένη περίπτωση). To FILTER_SANITIZE_NUMBER_INT αποτρέπει χαρακτήρες όπως το QUOTE. Πάμε λοιπόν τώρα να δούμε αν η σελίδα μας αντιδράει σε error. Απολύτως καμία αντίδραση. Πάμε να κάνουμε πάλι επίθεση λοιπόν CRITICAL. Δεν μας αφήνει να βρούμε βάση. Πάμε να δοκιμάσουμε και με risk και level και με v 6 Πάλι critical. Οπότε είμαστε καλυμμένοι. Θα βγάλω και οδηγό για το πως να προστατευτούμε από επίθεση XSS (CROSS SITE SCRIPTING) κάποια στιγμή. Be safe. 😀

Θα μπορούσε κανείς να πει πως το κινητό μας, στην σημερινή εποχή είναι η πιο σημαντική συσκευή που θα πρέπει να προστατέψουμε από οποιονδήποτε με κακόβουλες προθέσεις. Η αλήθεια είναι πως το κινητό μας έχει έναν εντυπωσιακό αριθμό πληροφοριών για εμάς. Έναν αριθμό που ξεπερνάει ακόμα και τον προσωπικό μας υπολογιστή. Αυτό συμβαίνει διότι το κινητό μας είναι σχεδόν πάντα μαζί μας και το χρησιμοποιούμε πάρα πολλές φορές μέσα στην καθημερινότητά μας. Με αυτό κάνουμε σχεδόν τα πάντα. Έτσι είναι πάρα πολύ σημαντικό να διασφαλείσουμε όσο καλύτερα μπορούμε τα προσωπικά μας δεδομένα. Σε αυτόν τον οδηγό θα αναφέρω κάποια πολύ βασικά πράγματα που μπορεί να κάνει ένας χρήστης για να προστατέψει τον εαυτό του από απειλές χαμηλού και μεσαίου επιπέδου. Χαμηλού επιπέδου εννοώ το κλασσικό skiddie της γειτονιάς, την ζηλιάρα πρώην και τον περίεργο ή κακόβουλο stalker που συναντάς στο σχολείο, στην δουλειά ή στην παρέα. Μεσαίου επιπέδου εννοώ τον κλασσικό black hat χακερά που κοιτάει να βγάλει κανα τάληρο από τον πόνο σου ή τον περίεργο που κοιτάει να σου κλέψει της πληροφορίες σου για κάποιον άλλο σκοπό. Υψηλού επιπέδου απειλή θα ήταν μια κυβερνητική οργάνωση ή μια εταιρία-κολοσσός για τις οποίες δεν θα μιλήσω σε αυτόν τον οδηγό μιας και η συζήτηση για αυτό το θέμα είναι πολύ μεγάλη και είναι καλό σε περίπτωση που γίνει να ακουστούν πολλές απόψεις. Όπως σε κάθε οδηγό περι ασφάλεια δεν γίνεται να αναφέρω όλους τους τρόπους προστασίας διότι είναι πάρα πολλοί. Θα αναφέρω όμως κάποια βασικά βήματα τα οποία θα σε βοηθίσουν αρκετά. Ας ξεκινήσουμε: [hide] 1. Κρυπτογράφιση συσκευής/Encrypt phone: Όλα τα μοντέρνα κινητά έχουν στις ρυθμίσεις την επιλογή να κρυπτογραφίσεις την συσκευή σου. Η κρυπτογράφηση θα δυσκολέψει κάποιον κακόβουλο από το να έχει πρόσβαση στις πληροφορίες σου αν σου κλέψει το κινητό. Δεν θα σε προστατέψει από κακόβουλο λογισμικό. Η κρυπτογράφιση υπάρχει ώστε να μην μπορεί κάποιος που έχει φυσική πρόσβαση στο κινητό σου να το συνδέσει σε έναν υπολογιστή και να διαβάσει εύκολα τα περιεχόμενά του. Αυτή η επιλογή βρίσκεται συνήθως στις Ρυθμίσεις->Ασφάλεια, αλλά το μενού μπορεί να είναι λίγο διαφορετικό σε κάθε συσκευή. Η κρυπτογράφιση θα κάνει το start και το shut down/reboot του κινητού λίγο πιο αργό μιας και κάθε φορά που το απενεργοποιείς εκείνο θα κρυπτογραφεί τα αρχεία σου και κάθε φορά που το ανοίγεις θα τα αποκρυπτογραφεί. Κάποια καινούργια μοντέλα Android είναι από μόνα τους κρυπτογραφημένα. Επίσης κάποια μοντέλα δεν μπορούν να κρυπτογραφηθούν αν έχουν γίνει rooted. Πρέπει να τα κάνεις unroot πριν τα κρυπτογραφήσεις. Η συγκεκριμένη ρύθμιση κατά την γνώμη μου είναι αναγκαία αν θες να προστατέψεις τις πληροφορίες σε περίπτωση που κάποιος σου κλέψει το κινητό. 2. Εύρεση συσκευής/Find my device: Η συγκεκριμένη επιλογή βρίσκεται σε διαφορετικά σημεία σε Android: https://support.google.com/accounts/answer/6160491?hl=en και σε IOS: https://support.apple.com/explore/find-my Όπως λέει και ο τίτλος αυτή η επιλογή σου επιτρέπει να βρεις το κινητό σου σε περίπτωση που κλαπεί ή χαθεί. Δουλεύει μόνο αν το κινητό είναι ενεργοποιημένο, συνδεδεμένο στο Google Account ή στο iCloud και στο ίντερνετ. Σε Android πρέπει να έχεις και ενεργοποιημένη την τοποθεσία και η συσκευή να φαίνεται στο Google Play αλλά σου δίνονται και άλλες δυνατότητες όπως διαγραφή αρχείων, κλείδωμα της συσκευής και παραγωγή ύχου. 3. Two factor authentication: Αν έχεις λογαριασμό Google ή iCloud ενεργοποίησε two factor authentication χωρίς δεύτερη σκέψη. Αν κάποιος αποκτήσει πρόσβαση σε αυτούς τους λογαριασμούς θα έχεις μεγάλο πρόβλημα και θα χαθεί το νόημα του βήματος 2. 4. Μην κάνεις εγκατάσταση εφαρμογών από sites τα οποία δεν είναι επίσημα. Οι πιθανότητες να περιέχουν Malware είναι εξωφρενικές. Μείνε στο Playstore, F-Droid (σαν playstore αλλά ανοιχτού κώδικα) και στο App Store της apple. 5. Κάνε τις Ενημερώσεις/Updates: Να ενημερώνεις συχνά το λογισμικό του κινητού σου. Αν έχεις απενεργοποιήσει τις αυτόματες ενημερώσεις κοίτα να τις ενεργοποιήσεις. Τα μεγαλύτερα κρούσματα μαζικών επιθέσεων γίνονται λόγω outdated λογισμικού. Οι ενημερώσεις καλύπτουν/φτιάχνουν προιγούμενα κενά ασφαλείας. 6. Πρόσεξε τι στέλνεις και που: Μην στέλνεις προσωπικές πληροφορίες ή ευαίσθητες εικόνες οπουδήποτε και σε οποιονδήποτε (Don't be a hoe). Κατά την γνώμη μου μην στέλνεις γενικά ευαίσθητες εικόνες (nudes) γιατί πρώτον είναι ηθικά λάθος (εκτός αν είναι κάποιος 100% έμπιστος π.χ η σύζηγος/ο σύζηγος και έχει συμφωνήσει πως θέλει να δει όλη την γυμνή σου δόξα.) και δεύτερον γιατί κατα 99.9% τέτοιες φωτογραφίες διαρρέουν. Αλλά αν σε καίει τόσο πολύ να δείξεις το schlong σου σε κάποιον, σιγουρέψου έστω πως δεν θα διαρρέυσει διασφαλείζοντας τους κωδικούς σου και σιγουρέυοντας πως το κανάλι σου είναι ασφαλές (π.χ HTTPS). Εκτός από τις φωτογραφίες σου, μην στέλνεις κωδικούς ή άλλες ευαίσθητες πληροφορίες πουθενά. Κράτα τα προσωπικά σου δεδομένα καθαρά ΠΡΟΣΩΠΙΚΑ. 7. Χρησιμοποίησε Firewall και αν γίνεται Antivirus: Προτείνω NetGuard για Firewall. Εννοείτε πως μπορείς να εμποδίσεις συγκεκριμένες εφαρμογές από το να έχουν πρόσβαση στο δύκτιο με το NetGuard εάν το θελήσεις. Όλα τα μοντέρνα κινητά έχουν από μόνα τους AntiVirus αλλά αν το δικό σου για κάποιο λόγο δεν έχει κοίταξε να κατεβάσεις. Κοίταξε επίσης το αυτό που θα κατεβάσεις να είναι κάποιο γνωστό όμως Kraspersky, Avast, Norton, BitDefender κτλ. 8. Backups: Αν σε βολεύει δημιούργισε μερικά αντίγραφα ασφαλείας των αρχείων σου. Κάποια εφαρμογή για backup cloud θα ήταν πολύ χρήσιμη. Καλό θα ήταν επίσης τα αντίγραφα αυτά να είναι κρυπτογραφημένα. Να ένας οδηγός για IOS: https://support.apple.com/en-us/HT205220 για Android έχω ακούσει καλά λόγια για το Cryptomator αν και προσωπικά δεν το έχω χρησιμοποιήσει. 9. Browser: Πρότεινω για browser να χρησιμοποιείς το DuckDuckGo. Έχει πολλά ωραία features όπως την εύκολα διαγραφή data και cookies με το πάτημα ενός κουμπιού. Η εφαρμογές uBlock Origin και HTTPS Everywhere είναι επίσης υπερβολικά χρήσιμες. 10. Απενεργοποίησε το να φαίνονται τα μηνύματά σου στο Lockscreen. 11. Χρησιμοποίησε το https://www.virustotal.com/gui/home/upload για να ελέγχεις αρχεία και urls 12. Βάλε ένα δύσκολο PIN/Password/Μοτίβο για το Lockscreen: Η ημερομηνία γέννησής σου, το όνομα της πόλης που ζεις ή ο αριθμός κινητού σου δεν είναι αρκετά. Το λέω αυτό γιατί προσωπικά έχω μαντέψει κωδικούς με αυτόν τον τρόπο άπειρες φορές. [/hide]