Web ministerstva dopravy, respektive Informační systém Kardok http://cep.mdcr.cz/kardok nemá ošetřené vstupní hodnoty z URI - klasicky lze do SQL dotazů vsouvat cokoliv vás napadne (screenshot) - podle informací na webu je zpracovatel WAK System, s.r.o. - www.waksystem.cz.

-----Original Message-----
From: Daniel Dočekal
Sent: Tuesday, August 23, 2005 8:48 AM
To: 'wasserbauer(z)waksystem.cz'

Subject: SQL injection v KARDOK aplikaci

Dobrý den,

Musím Vás upozornit, že aplikace KARDOK (součást webu MD ČR) trpí vážnou bezpečnostní chybou (SQL Injection) - je tak možné vkládat vlastní informace do SQL dotazů.

S pozdravem

Daniel Dočekal

Reakce:

-----Original Message-----

From: Miroslav Wasserbauer
Sent: Tuesday, August 23, 2005 11:52 AM
To: 'Daniel Dočekal'

Subject: RE: SQL injection v KARDOK aplikaci

Vážený pane,

jménem naší společnosti Vám děkuji a po konzultaci s programátorským oddělením chybu ihned odstraníme.

S pozdravem a přáním pěkného dne za

WAK System, s.r.o.

RNDr. Miroslav Wasserbauer

ředitel společnosti

Po kontaktu s ředitelem WK System, s.r.o. proběhl ještě kontakt s programátore - doufám, že k oboustranné spokojenost, protože za sebe mohu říci, že mě reakce WAK System příjemně překvapila, stejně tak jako rychlost nápravy problému - prakticky ještě tentýž den odpoledne byla chyba napravena.

Musím zdůraznit, že SQL Injection je nepříjemná a nebezpečná chyba, ale vyskytuje se na neuvěřitelném množství webů - k jejímu rozšíření bohužel přispívají nectnosti prostředí, ve kterých se weby programují - je pro ně typické, že proměnné nemají žádné předem určené datové typy (vše je tzv. typu "variant") - a z toho plyne řada vedlejších efektů. Jedním z nich je i to, že "zdání klame" a parametry nejsou vždy takové, jak by si tvůrce aplikace v první řadě přál.