W liście do redakcji Dziennika Internautów jeden z Czytelników poinformował, że szperając na stronie katowickiej policji w poszukiwaniu informacji o konkretnym wypadku, zauważył "dziwne wyświetlanie się strony", co ewentualny napastnik mógłby wykorzystać do manipulowania bazą danych serwisu.
reklama
Jak napisał Czytelnik, dołączając do listu zrzut ekranu obrazujący problem:
zakładki, które korzystają z wyszukiwarki w bazie danych SQL, zanim wyświetlą gotową stronę, wcześniej "wypluwają" zapytanie SQL do bazy, co może być podpowiedzią do ataku SQL. (...) po odświeżeniu efektu nie ma, efekt jest zawsze za pierwszym razem w wyszukiwarkach, a to dlatego, iż powinna się natychmiastowo przeładować strona, ale zapytanie powoduje przeciążenie i przeładowanie nie następuje
Wyświetlanie zapytań SQL w ramach treści strony WWW jest oznaką złej konfiguracji raportowania o błędach - niestety jest to dość popularna przypadłość wśród serwisów internetowych. O ile w tym przypadku nie ujawnione zostały krytyczne dla bezpieczeństwa strony informacje, to potencjalny atakujący otrzymał bardzo cenne wskazówki (nazwy kolumn), które mogą mu pomóc w przypadku konstruowania ewentualnego ataku. Często też taka niedbałość sugeruje, że w webaplikacji mogą ukrywać się inne, poważniejsze błędy...
Informację o zagrożeniu przesłaliśmy e-mailem na adres Zespołu Łączności i Informatyki Komendy Miejskiej Policji w Katowicach. Mimo upływu dwóch tygodni nie otrzymaliśmy żadnego odzewu w tej sprawie, a błąd wygląda na niezałatany.
Aktualizacja:
Przedstawiciel śląskiej Policji poinformował redakcję Dziennika Internautów, że opisany powyżej błąd w działaniu strony został już naprawiony.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*