Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Dostęp do miliona danych księgowych Starbucks dzięki SQL injection (bug bounty)
Jeśli ktoś uważa, że SQL injection ciężko jest znaleźć w obecnych czasach, myli się. W opisywanym przypadku zaczęło się od enumeracji ciekawych poddomen (mamy o tym osobny rozdział w naszej książce) – udało się znaleźć niezbyt skomplikowane miejsce z możliwością anonimowego uploadu pliku XML. Po niewyłączonych komunikatach błędów było jasne, że formularz zasila Microsoftowy ERP – Dynamics AX.
Co dalej? Dalej nie było widać żadnej podatności ale po przeszło miesięcznej przerwie badacz powrócił do formularza i przetestował podatność SQL injection w takim miejscu <MainAccount>123456</MainAccount> . Jak tu dodać apostrof? Wprost nie było to możliwe, ale już z wykorzystaniem encji – tak :) <MainAccount>123456'</MainAccount>
Co było w bazie? Tysiące tabel i całkiem sporo danych w przykładowej tabeli, którą badacz wziął na „warsztat”:
A quick check revealed that the database had thousands of tables. (…) I found the default main table and the relevant columns. There were almost a million entries up till the previous year that included real accounting information.
Z zgłoszenie znaleziska wypłacono w sumie skromne $4 000.
–ms
Kawa cienka to i bounty słabe.
Swoją drogą z tymi nie wyłączonymi komunikatami błędów lub debugiem to jest jakaś plaga egipska.