- A+
致力于错误报告的网站安全专家帮助修复了影响着名咖啡连锁店星巴克企业数据库的关键SQL注入漏洞。 该漏洞可能暴露了机密的财务和会计数据。
由于他的发现,专家Eugene Lim(也称为'spaceraccoon')获得了4,000美元的赏金,通过由HackerOne平台运营的星巴克漏洞赏金计划支付。
受损的数据库存储了机密的公司记录,例如星巴克的税务数据,发票和工资单信息; 反过来,该漏洞允许任何具有必要知识的威胁参与者在未经授权的情况下访问这些日志。
网站安全专家发现该漏洞存在于HTML文件上载表单中,该表单创建了一种访问数据库的方法。 具体而言,Lim发现该漏洞可利用XML格式的HTTP有效负载请求进行利用,并为运行Microsoft Dynamics AX(一种财务和会计软件平台)的服务器编码一个简单的引用。 在4月中旬收到报告后,星巴克开始纠正这个错误; 两天后,漏洞被完全打了补丁。
根据网站安全专家的说法,Lim首次尝试在公司的网络基础设施中对文件上传表单部署XXE(XML外部实体)攻击是不成功的。 几周之后,专家返回到同一个端点,并设法宽恕SQL注入攻击,意识到一个简单的XML编码引号导致数据库失败。 “即使SQL注入是多年来已知的攻击的变种,它仍然是各种企业系统中一个非常常见的漏洞,”他说。 “也许它们很少被发现,但是SQL注射绝对不会灭绝,我几天前自己找到了几个,”他补充道。
国际网络安全研究所(IICS)的网站安全专家表示,许多开发人员使用包装函数(如对象关系映射)来降低SQL注入的风险。 但是,在某些情况下,在没有包装器或此功能配置不良的情况下应用查询。
此外,专家警告SQL注入可能导致的严重后果。 专家提到,“问题在于SQL注入通常会产生严重后果,甚至可能导致更高风险的情况,例如远程代码执行。”
与其他漏洞奖励计划中处理的数据相比,专家在报告中获得的4,000美元奖励可能看起来很小,但值得注意的是,这是星巴克错误赏金计划设定的最大金额。
据说Lim仍然对他的工作表示满意。 “寻找大公司的回报可能带来更大的利益,但金钱不是我唯一的动力。 像星巴克这样的公司会立即回应这些报告,并允许更多的互动; 在这种情况下,报告和纠正漏洞的过程不到一周,与他们合作是一种很好的体验,“他说。
