SQL injection w Starbucks. Można też było wykonać kod w OS przez SQL Server

Podatność zgłoszona w ramach programu bug bounty. Historia jest krótka ale pouczająca (ile to razy słyszeliśmy, że SQL injection to jakaś stara podatność i nigdzie jej nie można znaleźć?).

1. Dostępny plik WSDL definiujący endpointy API – w tym testowe funkcje (całość w domenie starbucks.com.cn)
2. SQL injection w jednej z funkcji
3. Wstrzyknięcie poprzez SQL injection czegoś w rodzaju: ‘; exec master..xp_cmdshell ‘format c:’; — (w rzeczywistości badacz odpalił mało groźnego pinga)

Warto też wspomnieć że funkcja xp_cmdshell jest od dawna domyślnie wyłączona w SQL Serwerze. Jednak jeśli użytkownik, na którym jest skonfigurowana aplikacja posiada odpowiednio wysokie uprawnienia – można ją ponownie włączyć  :-)

Błąd został zakwalifikowany jako krytyczny, wypłacono $4000.

–ms