Nieuwe hackmethode legt Oracle databases bloot

"Ik betwijfel of dit praktisch 'uitbuitbaar' wordt... Maar in specifieke gevallen kan het misbruikt worden

erg theoretisch. Je kunt je als ontwikkelaar wel degelijk wapenen tegen SQLinjecties door je invoer van oa zoekvelden te beperken.
Ook is er in dit artikel niet duidelijk om welke versie van Oracle het gaat. Met de 11g zijn ook nieuwe beveiligingen tegen SQLInjectie ingebouwd.

Zo te zien werkt die exploit met alle Oracle versies die "execute immediate" ondersteunen; dat is vanaf versie 8.0 geloof ik.

Het is inderdaad wel een vrij theoretische exploit:
- de te misbruiken procedure moet iets met dynamisch sql doen, op een onhandige manier (zonder bindvariabelen)
- met de exploit krijg je de rechten van de eigenaar van de procedure; in de beschrijving wordt daarmee een 'grant dba to ...' gedaan, maar het lijkt me niet dat een normale procedure die rechten hoort te hebben
- de ingelogde gebruiker moet rechten hebben om de procedure te draaien, en gezien de aard van de procedures waarin het exploit kan voorkomen, zal dit vrijwel nooit het geval zijn

Conclusie: een sql injectie is inderdaad mogelijk, maar alleen als er nogal wat mis is met de geschreven pl/sql code.

Deze hack methode is niet zo nieuw als die er uit ziet en al helemaal niet zo sensationeel als de titel van het artikel probeert te doen geloven. Het onderliggende probleem: teveel vertrouwen in het werk van personen die al veel rechten hebben op een database. Iemand moet voor het misbruiken van deze aanvalmogelijkheid ten eerste lak hebben aan schrijven van veilige procedures en functies en ten tweede alsnog geen invoer validatie toepassen rond gebruikte tijd en datum waarden. Het verdient geen schoonheidsprijs dat er waarschijnlijk vele personen hier nooit op gelet hebben maar, zoals de ontdekker al schrijft, practisch zal dit voor aanvallen momenteel niet makkelijk zijn te vinden en uit te buiten.

Die pdf-jes zijn niets anders dan een leuke reclame actie voor het bedrijf NGSSoftware en webwereld trapt er met zijn grote voeten in of (?) wordt gesponsord. Elke programmeur met een beetje brein beveiligd zijn applicaties. Elke database kan gehackt worden, als de applicatie slecht is.