Firma 5: (Har rettet hullet)
 


Svar: 14-11-2002
Hej Søren

Vi fik for nogle måneder siden en tilsvarende henvendelse fra cert.dk
og gennemgik systemet efter deres instrukser.
Jeg er derfor meget interesseret i at høre, om du har nogen konkret
viden om at der er et sikkerhedshul hos os - eller du bare antager det
fordi vi har mulighed for brugerinput til sql.

Venligst webmaster
		
		
 


Mit Svar: 14-11-2002

Hej Firma 5,

Jeg vil tillade mig at gå lidt dybere med tingene.

Denne her URL:

[URL Angivet]

Resultere i en side med 'ingen resultater fundet'

Mens denne her URL:

[URL Angivet]

Resulterer i:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near
'seslect'.

/search.asp, line 8


Forskellen på de to URLer er den 'injektede' SQL 'SELECT' kommando. I første
URL er syntaksen korrekt og alt forløber som forventet, hvorimod i anden URL
fejler SQL Server over den forkert stavede SELECT kommando. Ud fra de to
ting kan jeg kun konkludere at SQL injection i den givne URL er mulig.

Det skal til alt dette nævnes at 14 andre firmaer/websteder igår, ligesom
jer modtog
en lignende mail fra mig. Der blev i disse mails lagt vægt på en
offentliggørelse af sikkerhedshullet for at 'motivere' de ansvarlige til
faktisk
at vende tilbage til mig (Ved andre urelaterede henvendelser vender næsten
ingen firmaer tilbage, derfor det lille ekstra 'tryk').

Såfremt det er interessant vil der allerhøjst komme en kommentar ud af
dette, om hvorledes danske webbureauer behandler anmeldelse af
sikkerhedshuller - ingen firmaer eller websteder vil i sådanne en kommentar
blive nævnt ved navn eller anden erhversbetegnelse. (Jeg har ikke energi,
tid eller lyst til at gå gennem 15 retssager..:)

MVH

Søren Christensen
	
 


Mit Svar: 14-11-2002

Hej igen, Søren

Tak for dine detaljer. Dejligt at du interesserer dig for vores
sikkerhed.

Vi checker koden igen - der mangler åbenbart noget så simpelt som at
fjerne ' fra søgeordet!!!!

Af nysgerrighed: Hvem arbejder du for / hvorfor laver du dette her
sikkerhedscheck?

Venligst webmaster 
 


Mit Svar: 14-11-2002
Hej Firma 5,

> Vi checker koden igen - der mangler åbenbart noget så simpelt som at
> fjerne ' fra søgeordet!!!!

Det ser sådan ud.

> Af nysgerrighed: Hvem arbejder du for / hvorfor laver du dette her
> sikkerhedscheck?

 Jeg er freelancer og i dette tilfælde er det ren personlig interesse. I
følge god sikkerhedskultur og almen god dannelse skal man kontakte et
websted/softwareproducent og give dem besked hvis man har fundet problemer.
Jeg har ikke 'søgt' problemerne, men har bare set URLen og af nysgerrighed
checket om den var åben.

MVH

Søren Christensen