Błędy SQL Injection w Allegro
22.01
W kategorii:
sql injection,
portale
W ramach rutynowych testów, wykryliśmy błędy typu SQL Injections w serwisie allegro.pl.
Błędów było kilka, poniżej prezentujemy jeden z nich (PoC):
http://allegro.pl/phorum/search.php?f=259&search=sprzedawca&globalsearch=0
&match=1&date=30&fldsubject=1&fldbody=1&fields[0]=Tutaj SQLi
Dzięki sprawnej współpracy z działem bezpieczeństwa Allegro, błędy zostały w bardzo szybkim czasie poprawione.
Dla niewtajemniczonych, przypominamy, że błędy typu SQL injections umożliwiają ataki dające atakującemu m.in:
- nieograniczony dostęp do bazy danych w trybie do zapisu i odczytu (umożliwia to np. umieszczenie kompromitujących informacji w portalu czy odczytanie poufnych danych)
- nieograniczony dostęp do administracji aplikacji
- dostęp do shell-a w systemie operacyjnym i eskalacja ataku w głąb infrastruktury
- przejęcie dostępu do kont użytkowników bez znajomości haseł
- wykorzystanie serwera jako zombie host do ataków na inne serwery w Internecie
Nie mówimy, że tego typu konsekwencje występowały w serwisie allegro (nie sprawdzaliśmy tego), a wskazujemy jedynie na krytyczność tego typu luk.
