www.svetoutdooru.cz je dalším serverem nabízejícím SQL Injection (screenshot) - v některých místech jsou možnosti obzvlášť pikantní - autor pravděpodobně vůbec netuší, že "seznamy" tvořené čísly oddělenými podtržítky je možné výhodně využít uplně jiným způsobem, než bylo míněno.

-----Original Message-----
From: Daniel Dočekal
Sent: Tuesday, August 23, 2005 8:37 AM
To: 'info@svetoutdooru.cz'

Subject: SQL injection na www.svetoutdooru.cz

Dobrý den,

Musím Vás upozornit, že www.svetoutdooru.cz obsahuje vážnou bezpečnostní chybu (SQL Injection) umožňující vkládat vlastní obsah do SQL dotazů.

S pozdravem

Daniel Dočekal

Reakce je takřka okamžitá:

-----Original Message-----

From: Petr Macháček
Sent: Tuesday, August 23, 2005 8:40 AM
To: 'Daniel Dočekal'
Cc: 'Svetoutdooru.cz'

Subject: RE: SQL injection na www.svetoutdooru.cz

Dobrý den,

no to je tedy pěkné. A víte o konkrétním kritickém místě?

V každém případě díky za gentlemanské upozornění, rozhodně s tím něco uděláme.

hezký den

Petr Macháček
Svět outdooru

Posílám obratem Petru Macháčkovi jeden konkrétní případ s upozorněním, že kontrola vstupů z URI není přítomna prakticky nikde.

7.září to vypadá na napravení chyb - otázka je, proč při nápravě na SQL injection Petr Macháček nedořešil správné zpracování vstupů nebo alespoň nenastavil IIS tak, aby inteligentněji reagovalo na "interní" chyby:

Microsoft VBScript runtime error '800a000d'

Type mismatch: 'CInt'

/Users/Rady/default.asp, line 90

V některých případech to totiž dokonce vede k další nepříjemné bezpečnostní chybě - prozrazení "interní" informace o webu.

Microsoft VBScript runtime error '800a000d'

Type mismatch: '[string: "' or 1=1"]'

C:\DATAROOT\SVETOUTDOORU.CZ\WWW\USERS\RADY
\../../Includes/iMenu.asp, line 201

Zjevně práce kvapná, málo platná (varianta, že tomu autor webu příliš nerozumí, je samozřejmě také možná).

Na závěr je potřeba ještě připomenout CROSS SITE SCRIPTING (XSS) - průvodce (nejenom) hackera :(