-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

SQL injection wiecznie żywe – luka w nieoczywistym miejscu i nagroda ~8000 PLN

11 września 2020, 15:46 | W biegu | komentarze 3

Z naszych doświadczeń z realizacją testów bezpieczeństwa (robimy ich ponad 300 rocznie) wynika, że w 2020 roku SQL injection ma się cały czas bardzo dobrze. To znaczy może i niekiedy dajmy na to frameworki, coś a coś blokują, jednak podatność cały czas dość często występuje zarówno zarówno w małych jak i w dużych aplikacjach. I w zasadzie w dowolnej technologii.

Przechodząc do sedna, zobaczcie na tę lukę, zgłoszoną do serwisu: https://www.innogames.com/

Żądanie z apostrofem po slashu (https://www.innogames.com/’) dawało błąd, natomiast normalne wejście na stronę było… normalne ;) tj. bez błędu.

Stąd już prosta droga do pokazania prostego PoCa na SQL injection:

https://www.innogames.com/’ xor(if(mid(database(),1,1)=0x41,sleep(63),0)) or ’

Jak widzicie, do całej akcji nie potrzeba było wstrzykiwać apostrofu do żadnego z parametrów (właśnie może to powodowało, że SQLi nie było takie oczywiste), a jako bug bounty wypłacono $2000.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    > prostego PoCa
    Nie wiem czy taki prosty bo nie rozumiem co to robi ;)

    Odpowiedz
  2. John Sharkrat

    „$2000” – czyli pensja kasjerki z Lidla lub gościa od frytek w McDonaldzie.

    Odpowiedz
    • wk

      W jakim kraju? ;)

      Odpowiedz

Odpowiedz