@AntWallker
QA Tester at ironSource

Ошибка базы данных SQL В приложении windows насколько это серьезно в плане безопасности?

Привет всем! попробую обрисовать ситуацию более понятно
Недавно заметил что при определенных манипуляциях с кассой самообслуживания в супермаркете на экране появляется окно с кодом SQL
Что то в таком формате -
SELECT message_id AS Error, severity AS Severity,  
[Event Logged] = CASE 
FROM sys.messages

Хотел бы узнать насколько все полохо в том плане если кто то захочет этим воспользоваться?
Спасибо!
  • Вопрос задан
  • 60 просмотров
Пригласить эксперта
Ответы на вопрос 2
@nApoBo3
Прокидывание внутренних ошибок наружу считается плохой практикой со всех точек зрения.
Ответ написан
Комментировать
Protos
@Protos
Спрашивай - отвечу
Не вижу где тут инъекцию вставить, нет места для пользовательского ввода, вероятно если его найти (он влияет на эту функцию ранее), то атакующему понятно какую инъекцию подобрать.
Error handling reveals stack traces or other overly informative error messages to users.

См. OWASP TOP 5
Например, если в интерфейсе кассы есть поле для поиска событий журнала по message_id и предполагается что пользователю message_id известе, а само поле не обладает защитой от инъекций, то вместо цифры атакующий может вписать инъекцию
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы