Jak napisał Czytelnik, dołączając do listu zrzut ekranu obrazujący problem:

zakładki, które korzystają z wyszukiwarki w bazie danych SQL, zanim wyświetlą gotową stronę, wcześniej "wypluwają" zapytanie SQL do bazy, co może być podpowiedzią do ataku SQL. (...) po odświeżeniu efektu nie ma, efekt jest zawsze za pierwszym razem w wyszukiwarkach, a to dlatego, iż powinna się natychmiastowo przeładować strona, ale zapytanie powoduje przeciążenie i przeładowanie nie następuje

fot. - Podgląd zapytań SQL na stronie katowickiej policji - zrzut ekranu przygotowany przez Czytelnika

Wyświetlanie zapytań SQL w ramach treści strony WWW jest oznaką złej konfiguracji raportowania o błędach - niestety jest to dość popularna przypadłość wśród serwisów internetowych. O ile w tym przypadku nie ujawnione zostały krytyczne dla bezpieczeństwa strony informacje, to potencjalny atakujący otrzymał bardzo cenne wskazówki (nazwy kolumn), które mogą mu pomóc w przypadku konstruowania ewentualnego ataku. Często też taka niedbałość sugeruje, że w webaplikacji mogą ukrywać się inne, poważniejsze błędy...

Informację o zagrożeniu przesłaliśmy e-mailem na adres Zespołu Łączności i Informatyki Komendy Miejskiej Policji w Katowicach. Mimo upływu dwóch tygodni nie otrzymaliśmy żadnego odzewu w tej sprawie, a błąd wygląda na niezałatany.

>> Czytaj także: Precedensowy wyrok w sprawie SQL Injection

Aktualizacja:

Przedstawiciel śląskiej Policji poinformował redakcję Dziennika Internautów, że opisany powyżej błąd w działaniu strony został już naprawiony.