By design (1)
El parque del oso
Si algo me gusta de esto del hacking es la
frecuencia con que uno se encuentra cosas llamativas. Cosas cuya existencia te
hace pensar en los procesos mentales que las hicieron posibles. La verdad es
que uno aprende un montón y termina siendo capaz de reconocer las
personalidades que hay detrás de ciertos estilos de desarrollo o gestión de
sistemas.
Por ejemplo, ahí tenemos la base de datos
de Yellowstone, dependiente de la Universidad del estado de Washington. Cuando
uno visita su URL:
http://refbase.wsulibs.wsu.edu/yellowstone/show.php?record=14183
|
... se encuentra con una serie de opciones
de consulta y un listado con algunos documentos con sus correspondientes
enlaces.
El primero de ellos apunta en este caso a
la URL:
http://refbase.wsulibs.wsu.edu/yellowstone/show.php?record=14183
|
Que, a su vez redirige mediante repuesta
HTTP de código 302 a
http://refbase.wsulibs.wsu.edu/yellowstone/search.php?sqlQuery=SELECT%20author%2C%20title%2C%20type%2C%20year%2C%20publication%2C%20abbrev_journal%2C%20volume%2C%20issue%2C%20pages%2C%20keywords%2C%20abstract%2C%20address%2C%20corporate_author%2C%20thesis%2C%20publisher%2C%20place%2C%20editor%2C%20language%2C%20summary_language%2C%20orig_title%2C%20series_editor%2C%20series_title%2C%20abbrev_series_title%2C%20series_volume%2C%20series_issue%2C%20edition%2C%20issn%2C%20isbn%2C%20medium%2C%20area%2C%20expedition%2C%20conference%2C%20notes%2C%20approved%2C%20call_number%2C%20serial%20FROM%20refs%20WHERE%20serial%20%3D%2014183%20ORDER%20BY%20author%2C%20year%20DESC%2C%20publication&client=&formType=sqlSearch&submit=Display&viewType=&showQuery=0&showLinks=1&showRows=20&rowOffset=&wrapResults=1&citeOrder=&citeStyle=APA&exportFormat=RIS&exportType=html&exportStylesheet=&citeType=html&headerMsg=
|
Para quien tenga problemas en leer texto
con codificación de URL, ahí va el valor del parámetro GET “sqlQuery” en un
formato más comprensible:
SELECT author, title, type, year,
publication, abbrev_journal, volume, issue, pages, keywords, abstract,
address, corporate_author, thesis, publisher, place, editor, language,
summary_language, orig_title, series_editor, series_title,
abbrev_series_title, series_volume, series_issue, edition, issn, isbn,
medium, area, expedition, conference, notes, approved, call_number, serial
FROM refs WHERE serial = 14183 ORDER BY author, year DESC, publication
|
Esta aplicación no es que tenga problemas
de SQL Injection. Es que, por diseño, permite ejecutar código SQL a cualquiera
que dé con ella.
Posiblemente, quiero
pensar que sí, esté tras un firewall de aplicaciones web (WAF), pero incluso si
éste fuera completamente efectivo, cosa que no suele ocurrir, la idea seguiría
siendo igual de peligrosa. Posiblemente a estas alturas ya habrá quien,
no pudiéndose resistir a la curiosidad, haya
empezado por ponerse a determinar el gestor de bases de datos utilizado,
su versión, y... la cuenta de acceso a la base de datos.
No hay comentarios:
Publicar un comentario