Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
SQL injection w Starbucks. Można też było wykonać kod w OS przez SQL Server
Podatność zgłoszona w ramach programu bug bounty. Historia jest krótka ale pouczająca (ile to razy słyszeliśmy, że SQL injection to jakaś stara podatność i nigdzie jej nie można znaleźć?).
- Dostępny plik WSDL definiujący endpointy API – w tym testowe funkcje (całość w domenie starbucks.com.cn)
- SQL injection w jednej z funkcji
- Wstrzyknięcie poprzez SQL injection czegoś w rodzaju: ’; exec master..xp_cmdshell 'format c:’; — (w rzeczywistości badacz odpalił mało groźnego pinga)
Warto też wspomnieć że funkcja xp_cmdshell jest od dawna domyślnie wyłączona w SQL Serwerze. Jednak jeśli użytkownik, na którym jest skonfigurowana aplikacja posiada odpowiednio wysokie uprawnienia – można ją ponownie włączyć :-)
Błąd został zakwalifikowany jako krytyczny, wypłacono $4000.
–ms