Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Listy Czytelników

W liście do redakcji Dziennika Internautów jeden z Czytelników poinformował, że szperając na stronie katowickiej policji w poszukiwaniu informacji o konkretnym wypadku, zauważył "dziwne wyświetlanie się strony", co ewentualny napastnik mógłby wykorzystać do manipulowania bazą danych serwisu.

robot sprzątający

reklama


Jak napisał Czytelnik, dołączając do listu zrzut ekranu obrazujący problem:

zakładki, które korzystają z wyszukiwarki w bazie danych SQL, zanim wyświetlą gotową stronę, wcześniej "wypluwają" zapytanie SQL do bazy, co może być podpowiedzią do ataku SQL. (...) po odświeżeniu efektu nie ma, efekt jest zawsze za pierwszym razem w wyszukiwarkach, a to dlatego, iż powinna się natychmiastowo przeładować strona, ale zapytanie powoduje przeciążenie i przeładowanie nie następuje

Podgląd zapytań SQL na stronie katowickiej policji - zrzut ekranu przygotowany przez Czytelnika
fot. - Podgląd zapytań SQL na stronie katowickiej policji - zrzut ekranu przygotowany przez Czytelnika
Jak to dokładnie wygląda, można zobaczyć na zamieszczonym obok zrzucie ekranu, przygotowanym przez Czytelnika. Redakcja Dziennika Internautów kilkakrotnie potwierdziła występowanie błędu. Poproszony o komentarz w tej sprawie konsultant ds. bezpieczeństwa Piotr Konieczny, współtwórca serwisu Niebezpiecznik.pl, powiedział:

Wyświetlanie zapytań SQL w ramach treści strony WWW jest oznaką złej konfiguracji raportowania o błędach - niestety jest to dość popularna przypadłość wśród serwisów internetowych. O ile w tym przypadku nie ujawnione zostały krytyczne dla bezpieczeństwa strony informacje, to potencjalny atakujący otrzymał bardzo cenne wskazówki (nazwy kolumn), które mogą mu pomóc w przypadku konstruowania ewentualnego ataku. Często też taka niedbałość sugeruje, że w webaplikacji mogą ukrywać się inne, poważniejsze błędy...

Informację o zagrożeniu przesłaliśmy e-mailem na adres Zespołu Łączności i Informatyki Komendy Miejskiej Policji w Katowicach. Mimo upływu dwóch tygodni nie otrzymaliśmy żadnego odzewu w tej sprawie, a błąd wygląda na niezałatany.

>> Czytaj także: Precedensowy wyrok w sprawie SQL Injection

Aktualizacja:

Przedstawiciel śląskiej Policji poinformował redakcję Dziennika Internautów, że opisany powyżej błąd w działaniu strony został już naprawiony.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl

UWAGA: UWAGA: Wybrane listy, przesłane do redakcji Dziennika Internautów, publikujemy, by umożliwić ich autorom dotarcie do szerszego grona odbiorców. Czytelnicy mogą podzielać zawarte w nich poglądy lub mieć odmienne zdanie - zachęcamy do wyrażania swoich opinii w komentarzach. Treści publikowanych listów mogą zawierać prywatne poglądy internautów, które nie odzwierciedlają poglądów redakcji DI. Listy prosimy kierować na adres: listy@di.com.pl