pondělí 24. listopadu 2003

Portál veřejné správy - SQL injection pro začátečníky a mírně pokročilé

Portál veřejné správy prošel již mnoha komentáři proto mě zaujal článek Vybrané aspekty implementační fáze Státní informační politiky Aloise Vitáska(původní odkaz jAblok.cZ 24.11.2003 Jedna starší injekce SQL). Pod tímto nevinným článkem naleznete popis, jak šlo jednoduchou úpravou URL dosáhnout modifiace SQL dotazu na straně serveru. Snad jen dodám, fantazii se meze nekladou což dokázal autor článku.

Co na tom že byla chyba briskně opravena, za 3.5 milionu korun ze státní kasičky bych čekal mnohem lepší zabezpečení. Nic na tom nemění ani vyjádření tvůrců ...komponenta pro kontrolu vstupních parametrů obsahovala logickou chybu. Nevím sice co si mam představit pod pojmem logická chyba, ale bezpečnostní díra tohoto typu mi pořádně smrdí. Jsem zvědav jaká další velikonoční vajíčka nám portál přinese....