(akt.) Strona katowickiej policji naprawiona

21-10-2010, 11:50
Listy Czytelników

W liście do redakcji Dziennika Internautów jeden z Czytelników poinformował, że szperając na stronie katowickiej policji w poszukiwaniu informacji o konkretnym wypadku, zauważył "dziwne wyświetlanie się strony", co ewentualny napastnik mógłby wykorzystać do manipulowania bazą danych serwisu.

Jak napisał Czytelnik, dołączając do listu zrzut ekranu obrazujący problem:

zakładki, które korzystają z wyszukiwarki w bazie danych SQL, zanim wyświetlą gotową stronę, wcześniej "wypluwają" zapytanie SQL do bazy, co może być podpowiedzią do ataku SQL. (...) po odświeżeniu efektu nie ma, efekt jest zawsze za pierwszym razem w wyszukiwarkach, a to dlatego, iż powinna się natychmiastowo przeładować strona, ale zapytanie powoduje przeciążenie i przeładowanie nie następuje

Podgląd zapytań SQL na stronie katowickiej policji - zrzut ekranu przygotowany przez Czytelnika
fot. - Podgląd zapytań SQL na stronie katowickiej policji - zrzut ekranu przygotowany przez Czytelnika
Jak to dokładnie wygląda, można zobaczyć na zamieszczonym obok zrzucie ekranu, przygotowanym przez Czytelnika. Redakcja Dziennika Internautów kilkakrotnie potwierdziła występowanie błędu. Poproszony o komentarz w tej sprawie konsultant ds. bezpieczeństwa Piotr Konieczny, współtwórca serwisu Niebezpiecznik.pl, powiedział:

Wyświetlanie zapytań SQL w ramach treści strony WWW jest oznaką złej konfiguracji raportowania o błędach - niestety jest to dość popularna przypadłość wśród serwisów internetowych. O ile w tym przypadku nie ujawnione zostały krytyczne dla bezpieczeństwa strony informacje, to potencjalny atakujący otrzymał bardzo cenne wskazówki (nazwy kolumn), które mogą mu pomóc w przypadku konstruowania ewentualnego ataku. Często też taka niedbałość sugeruje, że w webaplikacji mogą ukrywać się inne, poważniejsze błędy...

Informację o zagrożeniu przesłaliśmy e-mailem na adres Zespołu Łączności i Informatyki Komendy Miejskiej Policji w Katowicach. Mimo upływu dwóch tygodni nie otrzymaliśmy żadnego odzewu w tej sprawie, a błąd wygląda na niezałatany.

>> Czytaj także: Precedensowy wyrok w sprawie SQL Injection

Aktualizacja:

Przedstawiciel śląskiej Policji poinformował redakcję Dziennika Internautów, że opisany powyżej błąd w działaniu strony został już naprawiony.


Źródło: DI24.pl
UWAGA: UWAGA: Wybrane listy, przesłane do redakcji Dziennika Internautów, publikujemy, by umożliwić ich autorom dotarcie do szerszego grona odbiorców. Czytelnicy mogą podzielać zawarte w nich poglądy lub mieć odmienne zdanie - zachęcamy do wyrażania swoich opinii w komentarzach. Treści publikowanych listów mogą zawierać prywatne poglądy internautów, które nie odzwierciedlają poglądów redakcji DI. Listy prosimy kierować na adres: listy@di.com.pl
Tematy pokrewne:  

tag SQL Injectiontag SQLtag policja
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy