ISO.ORG Full Disclosure

На официальном сайте Международной организации по стандартизации (International Organization for Standardization, ISO), исследователем под псевдонимом GERTY9000, три недели тому назад, была обнаружена распространенная критическая уязвимость в Web-приложениях – "Внедрение операторов SQL". Международную организацию ISO знает каждый по многочисленным отраслевым стандартам, в том числе, стандартам в области информационной безопасности (вспоминаем ISO/IEC 27001:2005). Но давать напутствия другим – гораздо проще, чем придерживаться их самим :) Высокоуровневый взгляд проглядел "низы", и как следствие, недостатки в процессе обеспечения Web-безопасности вылезли наружу. Перейдем к разбору инцидента...

Логически истинная конструкция:

Логически ложная конструкция:

Уязвимость содержится в приложении под управлением СУБД Oracle и эксплуатируется классическим методом с использованием оператора "union":

Нужно отметить, что уведомления об ошибке при обработке некорректного SQL-запроса не возвращаются пользователю. Именно поэтому уязвимость можно было обнаружить только слепым методом. С приложением взаимодействует пользователь с пониженными привилегиями, однако подняться до SYS as DBA представляется достаточно тривиальной задачей [1].

Всего в базе данных содержится 2017 таблиц доступных пользователю PROD_ISO_ISOONLINE_CATALOGUE. Достаточно хороший куш, если бы в базу залез плохой парень. Вот вам и Plan->Do->Check->Act ;)

Первоисточник: http://gerty9000.blogspot.com/2010/02/isoorg.html