Ошибка базы данных SQL В приложении windows насколько это серьезно в плане безопасности?

Question

[AntWallker]

Привет всем! попробую обрисовать ситуацию более понятно
Недавно заметил что при определенных манипуляциях с кассой самообслуживания в супермаркете на экране появляется окно с кодом SQL
Что то в таком формате -

SELECT message_id AS Error, severity AS Severity,  
[Event Logged] = CASE 
FROM sys.messages

Хотел бы узнать насколько все полохо в том плане если кто то захочет этим воспользоваться?
Спасибо!

Answer 1

[nApoBo3]

Прокидывание внутренних ошибок наружу считается плохой практикой со всех точек зрения.

Answer 2

[Дядька Серёжа]

Не вижу где тут инъекцию вставить, нет места для пользовательского ввода, вероятно если его найти (он влияет на эту функцию ранее), то атакующему понятно какую инъекцию подобрать.

Error handling reveals stack traces or other overly informative error messages to users.

См. OWASP TOP 5
Например, если в интерфейсе кассы есть поле для поиска событий журнала по message_id и предполагается что пользователю message_id известе, а само поле не обладает защитой от инъекций, то вместо цифры атакующий может вписать инъекцию