-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

SQL injection w Starbucks. Można też było wykonać kod w OS przez SQL Server

23 lipca 2019, 12:05 | W biegu | 0 komentarzy

Podatność zgłoszona w ramach programu bug bounty. Historia jest krótka ale pouczająca (ile to razy słyszeliśmy, że SQL injection to jakaś stara podatność i nigdzie jej nie można znaleźć?).

  1. Dostępny plik WSDL definiujący endpointy API – w tym testowe funkcje (całość w domenie starbucks.com.cn)
  2. SQL injection w jednej z funkcji
  3. Wstrzyknięcie poprzez SQL injection czegoś w rodzaju: ’; exec master..xp_cmdshell 'format c:’; — (w rzeczywistości badacz odpalił mało groźnego pinga)

Warto też wspomnieć że funkcja xp_cmdshell jest od dawna domyślnie wyłączona w SQL Serwerze. Jednak jeśli użytkownik, na którym jest skonfigurowana aplikacja posiada odpowiednio wysokie uprawnienia – można ją ponownie włączyć  :-)

Błąd został zakwalifikowany jako krytyczny, wypłacono $4000.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz