Dostęp do miliona danych księgowych Starbucks dzięki SQL injection (bug bounty)

06 sierpnia 2019, 09:58 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Jeśli ktoś uważa, że SQL injection ciężko jest znaleźć w obecnych czasach, myli się. W opisywanym przypadku zaczęło się od enumeracji ciekawych poddomen (mamy o tym osobny rozdział w naszej książce) – udało się znaleźć niezbyt skomplikowane miejsce z możliwością anonimowego uploadu pliku XML. Po niewyłączonych komunikatach błędów było jasne, że formularz zasila Microsoftowy ERP – Dynamics AX.

Co dalej? Dalej nie było widać żadnej podatności ale po przeszło miesięcznej przerwie badacz powrócił do formularza i przetestował podatność SQL injection w takim miejscu <MainAccount>123456</MainAccount> . Jak tu dodać apostrof? Wprost nie było to możliwe, ale już z wykorzystaniem encji – tak :) <MainAccount>123456&apos;</MainAccount>

Co było w bazie? Tysiące tabel i całkiem sporo danych w przykładowej tabeli, którą badacz wziął na „warsztat”:

A quick check revealed that the database had thousands of tables. (…) I found the default main table and the relevant columns. There were almost a million entries up till the previous year that included real accounting information.

Z zgłoszenie znaleziska wypłacono w sumie skromne $4 000.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Monter

    Kawa cienka to i bounty słabe.
    Swoją drogą z tymi nie wyłączonymi komunikatami błędów lub debugiem to jest jakaś plaga egipska.

    Odpowiedz

Odpowiedz