martes, 4 de noviembre de 2014

By Design (1)


By design (1)

El parque del oso

Si algo me gusta de esto del hacking es la frecuencia con que uno se encuentra cosas llamativas. Cosas cuya existencia te hace pensar en los procesos mentales que las hicieron posibles. La verdad es que uno aprende un montón y termina siendo capaz de reconocer las personalidades que hay detrás de ciertos estilos de desarrollo o gestión de sistemas.

Por ejemplo, ahí tenemos la base de datos de Yellowstone, dependiente de la Universidad del estado de Washington. Cuando uno visita su URL:

http://refbase.wsulibs.wsu.edu/yellowstone/show.php?record=14183
 
... se encuentra con una serie de opciones de consulta y un listado con algunos documentos con sus correspondientes enlaces.


El primero de ellos apunta en este caso a la URL:
http://refbase.wsulibs.wsu.edu/yellowstone/show.php?record=14183

Que, a su vez redirige mediante repuesta HTTP de código 302 a
http://refbase.wsulibs.wsu.edu/yellowstone/search.php?sqlQuery=SELECT%20author%2C%20title%2C%20type%2C%20year%2C%20publication%2C%20abbrev_journal%2C%20volume%2C%20issue%2C%20pages%2C%20keywords%2C%20abstract%2C%20address%2C%20corporate_author%2C%20thesis%2C%20publisher%2C%20place%2C%20editor%2C%20language%2C%20summary_language%2C%20orig_title%2C%20series_editor%2C%20series_title%2C%20abbrev_series_title%2C%20series_volume%2C%20series_issue%2C%20edition%2C%20issn%2C%20isbn%2C%20medium%2C%20area%2C%20expedition%2C%20conference%2C%20notes%2C%20approved%2C%20call_number%2C%20serial%20FROM%20refs%20WHERE%20serial%20%3D%2014183%20ORDER%20BY%20author%2C%20year%20DESC%2C%20publication&client=&formType=sqlSearch&submit=Display&viewType=&showQuery=0&showLinks=1&showRows=20&rowOffset=&wrapResults=1&citeOrder=&citeStyle=APA&exportFormat=RIS&exportType=html&exportStylesheet=&citeType=html&headerMsg=

Para quien tenga problemas en leer texto con codificación de URL, ahí va el valor del parámetro GET “sqlQuery” en un formato más comprensible:
SELECT author, title, type, year, publication, abbrev_journal, volume, issue, pages, keywords, abstract, address, corporate_author, thesis, publisher, place, editor, language, summary_language, orig_title, series_editor, series_title, abbrev_series_title, series_volume, series_issue, edition, issn, isbn, medium, area, expedition, conference, notes, approved, call_number, serial FROM refs WHERE serial = 14183 ORDER BY author, year DESC, publication

Esta aplicación no es que tenga problemas de SQL Injection. Es que, por diseño, permite ejecutar código SQL a cualquiera que dé con ella.  

 Posiblemente, quiero pensar que sí, esté tras un firewall de aplicaciones web (WAF), pero incluso si éste fuera completamente efectivo, cosa que no suele ocurrir, la idea seguiría siendo igual de peligrosa. Posiblemente a estas alturas ya habrá quien, no pudiéndose resistir a la curiosidad, haya  empezado por ponerse a determinar el gestor de bases de datos utilizado, su versión, y... la cuenta de acceso a la base de datos.
 

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)