Dziura na internetowej stronie prezydenta

Kibice Pogoni Szczecin zamieścili na klubowym forum dyskusyjnym link do oficjalnej strony prezydenta RP Aleksandra Kwaśniewskiego.

Klikasz i czytasz: „Wszyscy obywatele będący kibicami Lecha Poznań zostaną wydaleni z kraju w ciągu najbliższych trzech dni. Jest to kolejny krok w stronę dostosowania praw obowiązujących w Unii Europejskiej, do której Polska wchodzi już 1 maja 2004”.

Wiadomość nie jest oczywiście prawdziwa i to nie biuro prasowe Kwaśniewskiego ją przygotowało. Internauci znaleźli dziurę, która umożliwia bardzo łatwą redakcję tekstów na stronie prezydenta.

Jak się okazuje to nie jedyna dziura jaka występuje na stronach prezydenta RP. Inna dziura umożliwia modyfikację zapytania SQL, gdzie wartość zmiennej GET „kat_ID” jest wstawiana bezpośrednio do zapytania, a przykładem tego może być ten link. Większych problemów nie będzie z wylistowaniem wszystkich informacji z serwisu informacyjnego wystarczy tylko ten prosty link.

Możliwe jest także odwołanie się do innych tabel SQL, a nawet modyfikacja ich zawartości, gdzie przykładem może być dodanie własnej informacji do serwisu informacyjnego, który będzie widoczny dla wszystkich odwiedzających stronę Prezydenta, a nie jak to miało miejsce w przypadku niedawnej luki, tylko przy podaniu odpowiednio spreparowanego adresu, który zresztą sam musiał zawierać treść informacji.

Te manipulacje byłyby z pewnością bardzo utrudnione, gdyby nie inne zaniedbanie autorów serwisu – przy jakimkolwiek błędzie w adresie, dostajemy podane jak na talerzu zapytanie SQL, a więc i strukturę bazy, której odgadnięcie czy zdobycie w przypadku SQL injection stanowi zazwyczaj największy problem.

Przykłady: przykład 1, przykład 2

Źródło: Gazeta.pl, e-mail