На официальном сайте Международной организации по стандартизации ( International Organization for Standardization , ISO), исследователем под псевдонимом GERTY9000 , три недели тому назад, была обнаружена распространенная критическая уязвимость в Web-приложениях " Внедрение операторов SQL ". Международную организацию ISO знает каждый по многочисленным отраслевым стандартам, в том числе, стандартам в области информационной безопасности (вспоминаем ISO/IEC 27001:2005 ). Но давать напутствия другим гораздо проще, чем придерживаться их самим :) Высокоуровневый взгляд проглядел "низы", и как следствие, недостатки в процессе обеспечения Web-безопасности вылезли наружу. Перейдем к разбору инцидента... name='more'>
Логически истинная конструкция:
Логически ложная конструкция:
Уязвимость содержится в приложении под управлением СУБД Oracle и эксплуатируется классическим методом с использованием оператора "union":
Нужно отметить, что уведомления об ошибке при обработке некорректного SQL-запроса не возвращаются пользователю. Именно поэтому уязвимость можно было обнаружить только слепым методом. С приложением взаимодействует пользователь с пониженными привилегиями, однако подняться до SYS as DBA представляется достаточно тривиальной задачей [ 1 ].
Всего в базе данных содержится 2017 таблиц доступных пользователю PROD_ISO_ISOONLINE_CATALOGUE. Достаточно хороший куш, если бы в базу залез плохой парень. Вот вам и Plan->Do->Check->Act ;)
Первоисточник: http://gerty9000.blogspot.com/2010/02/isoorg.html
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
На официальном сайте Международной организации по стандартизации ( International Organization for Standardization , ISO), исследователем под псевдонимом GERTY9000 , три недели тому назад, была обнаружена распространенная критическая уязвимость в Web-приложениях " Внедрение операторов SQL ". Международную организацию ISO знает каждый по многочисленным отраслевым стандартам, в том числе, стандартам в области информационной безопасности (вспоминаем ISO/IEC 27001:2005 ). Но давать напутствия другим гораздо проще, чем придерживаться их самим :) Высокоуровневый взгляд проглядел "низы", и как следствие, недостатки в процессе обеспечения Web-безопасности вылезли наружу. Перейдем к разбору инцидента... name='more'>
Логически истинная конструкция:
Логически ложная конструкция:
Уязвимость содержится в приложении под управлением СУБД Oracle и эксплуатируется классическим методом с использованием оператора "union":
Нужно отметить, что уведомления об ошибке при обработке некорректного SQL-запроса не возвращаются пользователю. Именно поэтому уязвимость можно было обнаружить только слепым методом. С приложением взаимодействует пользователь с пониженными привилегиями, однако подняться до SYS as DBA представляется достаточно тривиальной задачей [ 1 ].
Всего в базе данных содержится 2017 таблиц доступных пользователю PROD_ISO_ISOONLINE_CATALOGUE. Достаточно хороший куш, если бы в базу залез плохой парень. Вот вам и Plan->Do->Check->Act ;)
Первоисточник: http://gerty9000.blogspot.com/2010/02/isoorg.html 
