SQL-Injection in Oracle Reports
Alexander Kornbrust berichtet über einen häufig anzutreffenden Programmierfehler in Oracle Reports, die das Einschleusen beliebiger Datenbankabfragen ermöglicht.
Alexander Kornbrust berichtet in einem Security Advisory über einen häufig anzutreffenden Programmierfehler in Oracle Reports, der das Einschleusen beliebiger Datenbankabfragen (SQL-Injections) ermöglicht.
Betroffen sind Reports, die so genannte Lexical References verwenden. Sofern an die URL derartiger Reports der Ausdruck ¶mform=yes angehängt wird, öffnet sich ein neues Browser-Fenster, in dem die SQL-Anfrage komfortabel verändert werden kann. In dem Advisory finden sich einige Beispiele fehlerhafter Implementierungen sowie Lösungsvorschläge zur Umgehung dieses Problems.
Kornbrust schätzt, dass derartige Reports mit Lexical References aufgrund ihrer Mächtigkeit sehr beliebt und daher weit verbreitet sind.
Siehe dazu auch:
Security Advisory von Red-Database-Security (ju)
