Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
SQL injection wiecznie żywe – luka w nieoczywistym miejscu i nagroda ~8000 PLN
Z naszych doświadczeń z realizacją testów bezpieczeństwa (robimy ich ponad 300 rocznie) wynika, że w 2020 roku SQL injection ma się cały czas bardzo dobrze. To znaczy może i niekiedy dajmy na to frameworki, coś a coś blokują, jednak podatność cały czas dość często występuje zarówno zarówno w małych jak i w dużych aplikacjach. I w zasadzie w dowolnej technologii.
Przechodząc do sedna, zobaczcie na tę lukę, zgłoszoną do serwisu: https://www.innogames.com/
Żądanie z apostrofem po slashu (https://www.innogames.com/’) dawało błąd, natomiast normalne wejście na stronę było… normalne ;) tj. bez błędu.
Stąd już prosta droga do pokazania prostego PoCa na SQL injection:
https://www.innogames.com/’ xor(if(mid(database(),1,1)=0x41,sleep(63),0)) or ’
Jak widzicie, do całej akcji nie potrzeba było wstrzykiwać apostrofu do żadnego z parametrów (właśnie może to powodowało, że SQLi nie było takie oczywiste), a jako bug bounty wypłacono $2000.
–ms
> prostego PoCa
Nie wiem czy taki prosty bo nie rozumiem co to robi ;)
„$2000” – czyli pensja kasjerki z Lidla lub gościa od frytek w McDonaldzie.
W jakim kraju? ;)