l+f: Bobby Tables wird Vater
SQL Injection aus der Rubrik: "Wenn die Wirklichkeit den Comic überholt"
(Bild: dpa, Jens Büttner/zb/dpa)
(Bild: heise)
Der xkcd-Comic Exploits of a mom zu SQL-Injection-Angriffen ist legendär: Ein empörter Schulmitarbeiter beschwert sich am Telefon bei einer Mutter. Der Name ihres Sohnes Robert'); DROP TABLE Students;-- habe die Datenbankeinträge des Schulcomputers gelöscht. (Sie erklärt scheinheilig dabei, dass sie ihn den kleinen Bobby Tables nennen.)
Wer glaubt, das sei an den Haaren herbeigezogen, lese die Beschreibung zu einer SQL-Injection-Lücke in GLPI. Die fand der Autor, nachdem er eine Benachrichtigung des Dienstes HaveIbeenPwned über ein kompromittiertes Passwort bearbeitet hatte. Dieser Vorgang löschte nämlich die Beschreibungen aller Tickets im System. Die Mail enthielt die Zeichenkette
';-- have i been pwned?
und landete automatisch im Support-System. Bei der Bearbeitung des Tickets nahm das Unheil dann seinen Lauf ...
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
(ju)
