(akt.) Strona katowickiej policji naprawiona
Anna Wasilewska-Śpioch 21-10-2010, 11:50
W liście do redakcji Dziennika Internautów jeden z Czytelników poinformował, że szperając na stronie katowickiej policji w poszukiwaniu informacji o konkretnym wypadku, zauważył "dziwne wyświetlanie się strony", co ewentualny napastnik mógłby wykorzystać do manipulowania bazą danych serwisu.
Jak napisał Czytelnik, dołączając do listu zrzut ekranu obrazujący problem:
zakładki, które korzystają z wyszukiwarki w bazie danych SQL, zanim wyświetlą gotową stronę, wcześniej "wypluwają" zapytanie SQL do bazy, co może być podpowiedzią do ataku SQL. (...) po odświeżeniu efektu nie ma, efekt jest zawsze za pierwszym razem w wyszukiwarkach, a to dlatego, iż powinna się natychmiastowo przeładować strona, ale zapytanie powoduje przeciążenie i przeładowanie nie następuje
Jak to dokładnie wygląda, można zobaczyć na zamieszczonym obok zrzucie ekranu, przygotowanym przez Czytelnika. Redakcja Dziennika Internautów kilkakrotnie potwierdziła występowanie błędu. Poproszony o komentarz w tej sprawie konsultant ds. bezpieczeństwa Piotr Konieczny, współtwórca serwisu Niebezpiecznik.pl, powiedział:
Wyświetlanie zapytań SQL w ramach treści strony WWW jest oznaką złej konfiguracji raportowania o błędach - niestety jest to dość popularna przypadłość wśród serwisów internetowych. O ile w tym przypadku nie ujawnione zostały krytyczne dla bezpieczeństwa strony informacje, to potencjalny atakujący otrzymał bardzo cenne wskazówki (nazwy kolumn), które mogą mu pomóc w przypadku konstruowania ewentualnego ataku. Często też taka niedbałość sugeruje, że w webaplikacji mogą ukrywać się inne, poważniejsze błędy...
Informację o zagrożeniu przesłaliśmy e-mailem na adres Zespołu Łączności i Informatyki Komendy Miejskiej Policji w Katowicach. Mimo upływu dwóch tygodni nie otrzymaliśmy żadnego odzewu w tej sprawie, a błąd wygląda na niezałatany.
>> Czytaj także: Precedensowy wyrok w sprawie SQL Injection
Aktualizacja:
Przedstawiciel śląskiej Policji poinformował redakcję Dziennika Internautów, że opisany powyżej błąd w działaniu strony został już naprawiony.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Więcej w tym temacie:
- Konsumenci kradną w sklepach na potęgę. Policyjne statystyki są bezlitosne. Wzrosty rok do roku są wciąż dwucyfrowe
- Konsumenci coraz częściej kradną w sklepach. Wzrost rdr jest mocno dwucyfrowy
- Policja zatrzymała operatorów pirackiego serwisu ogladaj.to
- Dlaczego warto uczyć się SQL, baz danych i języka Python? Wskazówki dotyczące nauki dla początkujących
UWAGA: UWAGA: Wybrane listy, przesłane do redakcji Dziennika Internautów, publikujemy, by umożliwić ich autorom dotarcie do szerszego grona odbiorców. Czytelnicy mogą podzielać zawarte w nich poglądy lub mieć odmienne zdanie - zachęcamy do wyrażania swoich opinii w komentarzach. Treści publikowanych listów mogą zawierać prywatne poglądy internautów, które nie odzwierciedlają poglądów redakcji DI. Listy prosimy kierować na adres: listy@di.com.pl
« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.