Dostęp do miliona danych księgowych Starbucks dzięki SQL injection (bug bounty)

Jeśli ktoś uważa, że SQL injection ciężko jest znaleźć w obecnych czasach, myli się. W opisywanym przypadku zaczęło się od enumeracji ciekawych poddomen (mamy o tym osobny rozdział w naszej książce) – udało się znaleźć niezbyt skomplikowane miejsce z możliwością anonimowego uploadu pliku XML. Po niewyłączonych komunikatach błędów było jasne, że formularz zasila Microsoftowy ERP – Dynamics AX.

Co dalej? Dalej nie było widać żadnej podatności ale po przeszło miesięcznej przerwie badacz powrócił do formularza i przetestował podatność SQL injection w takim miejscu <MainAccount>123456</MainAccount> . Jak tu dodać apostrof? Wprost nie było to możliwe, ale już z wykorzystaniem encji – tak :) <MainAccount>123456&apos;</MainAccount>

Co było w bazie? Tysiące tabel i całkiem sporo danych w przykładowej tabeli, którą badacz wziął na „warsztat”:

A quick check revealed that the database had thousands of tables. (…) I found the default main table and the relevant columns. There were almost a million entries up till the previous year that included real accounting information.

Z zgłoszenie znaleziska wypłacono w sumie skromne $4 000.

–ms