Security Lab

уязвимость показа SQL запроса в IBM Net.Data

Дата публикации:11.07.2001
Дата изменения:17.10.2006
Всего просмотров:1380
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

IBM Net.Data – наиболее полный и простой в использовании язык сценариев, позволяющий вам создавать WEB приложения. Уязвимость защиты в программе позволяет злоумышленнику получить необработанную форму SQL запроса, который иногда раскрывает важную информацию типа имен пользователей и паролей.

При некоторых обстоятельствах, Net.Data включает фактическую конструкцию SQL запроса в конечном HTML ответе. При этом переменная среды "DTW_SHOWSQL" должна быть установлена в "YES", и макрокоманда должна включать глобальную переменную "SHOWSQL" со значением "YES". В большинстве случаев обычная практика, определять переменную "SHOWSQL" в глобальных переменных %DEFINE раздела, те же переменные отменяют командой с тем же самым именем в HTTP запросе. Макрокоманда "macro1" находится в макро файле, называемом "mymacros.mac" и выглядит примерно так:



%DEFINE SHOWSQL="NO"

%HTML (macro1) {

<html>

<body>

@Execute_some_SQL()

</body>

</html>

%}



Следующий URL позволяет Net.Data включить SQL запрос в конечный HTML файл:

http://www.example.com/netdata/mymacros.mac/macro1?ValidVariable=ValidValue&SHOWSQL=YES



В качестве решения можно предложить не включать важные переменные в %DEFINE, а включать внутри макро блока типа так: @DTW_ASSIGN (SHOWSQL, "Нет"). Соответственно любая переменная включенная в в %DEFINE секцию, имеет возможность подмены.