zurück zum Artikel

SQL Injection aus der Rubrik: "Wenn die Wirklichkeit den Comic überholt"

Der xkcd-Comic Exploits of a mom [1] zu SQL-Injection-Angriffen ist legendär: Ein empörter Schulmitarbeiter beschwert sich am Telefon bei einer Mutter. Der Name ihres Sohnes Robert'); DROP TABLE Students;-- habe die Datenbankeinträge des Schulcomputers gelöscht. (Sie erklärt scheinheilig dabei, dass sie ihn den kleinen Bobby Tables nennen.)

Wer glaubt, das sei an den Haaren herbeigezogen, lese die Beschreibung zu einer SQL-Injection-Lücke in GLPI [2]. Die fand der Autor, nachdem er eine Benachrichtigung des Dienstes HaveIbeenPwned [3] über ein kompromittiertes Passwort bearbeitet hatte. Dieser Vorgang löschte nämlich die Beschreibungen aller Tickets im System. Die Mail enthielt die Zeichenkette

';-- have i been pwned?

und landete automatisch im Support-System. Bei der Bearbeitung des Tickets nahm das Unheil dann seinen Lauf ...

(ju [6])

URL dieses Artikels:
https://www.heise.de/-4775019

Links in diesem Artikel:
[1] https://xkcd.com/327/
[2] https://fyr.io/2020/05/30/haveibeenpwned-com-pwned-our-helpdesk-glpi-9-4-5-sql-injection/
[3] https://haveibeenpwned.com/
[4] https://www.heise.de/thema/lost%2Bfound
[5] https://www.heise.de/thema/lost%2Bfound
[6] mailto:ju@ct.de

Copyright © 2020 Heise Medien