ISO.ORG Full Disclosure

ISO.ORG Full Disclosure
На официальном сайте Международной организации по стандартизации ( International Organization for Standardization , ISO), исследователем под псевдонимом GERTY9000 , три недели тому назад, была обнаружена распространенная критическая уязвимость в Web-приложениях " Внедрение операторов SQL ". Международную организацию ISO знает каждый по многочисленным отраслевым стандартам, в том числе, стандартам в области информационной безопасности (вспоминаем ISO/IEC 27001:2005 ). Но давать напутствия другим гораздо проще, чем придерживаться их самим :) Высокоуровневый взгляд проглядел "низы", и как следствие, недостатки в процессе обеспечения Web-безопасности вылезли наружу. Перейдем к разбору инцидента... name='more'> Логически истинная конструкция: Логически ложная конструкция: Уязвимость содержится в приложении под управлением СУБД Oracle и эксплуатируется классическим методом с использованием оператора "union": Нужно отметить, что уведомления об ошибке при обработке некорректного SQL-запроса не возвращаются пользователю. Именно поэтому уязвимость можно было обнаружить только слепым методом. С приложением взаимодействует пользователь с пониженными привилегиями, однако подняться до SYS as DBA представляется достаточно тривиальной задачей [ 1 ]. Всего в базе данных содержится 2017 таблиц доступных пользователю PROD_ISO_ISOONLINE_CATALOGUE. Достаточно хороший куш, если бы в базу залез плохой парень. Вот вам и Plan->Do->Check->Act ;) Первоисточник: http://gerty9000.blogspot.com/2010/02/isoorg.html
инциденты SQL-Injection риски hackers
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.