Om een aanval uit te voeren is een beetje creativiteit en kennis van het Oracle beheersysteem, zo schrijft David Litchfield, een Britse specialist op het gebied van databasebeveiliging en kopman van NGS Software.

Hij noemt deze vorm van aanval 'Lateral Injection Attack'. Daarbij wordt de Alter Session in de Sysdate-functie misbruikt om de SQL-compiler om de tuin te leiden. Die denkt een valide Date datatype te voeden, wat normaal gebeurt met V-Date. Maar hij voert in feite willekeurige code uit, en een aanvaller hoeft daarvoor niet fysiek bij de database te kunnen. "Het kan van afstand, bijvoorbeeld door gebruik te maken van een SQL-kwetsbaarheid in een webapplicatie", schrijft Litchfield in een email aan Searchsecurity.com. "Maar het kan niet direct."

Hij relativeert in zijn rapport dan ook het praktische gevaar dat de truc behelst. "Ik betwijfel of dit praktisch 'uitbuitbaar' wordt… Maar in specifieke gevallen kan het misbruikt worden, bijvoorbeeld bij Cursor Snarfing Aanvallen", schrijft de beveiliger. Toch dringt hij er vooral op aan dat de Date en Number-variabelen niet meer als 'veilig' moeten worden gezien.

Litchfield herhaalt daarmee een kunstje waarmee hij onderhand bekendheid heeft vergaard, namelijk het opsnorren van SQL-lekken in databases, vooral in die van Oracle. Een jaar geleden presenteerde hij bijvoorbeeld 'cursor injection', waarmee misbruik kan worden gemaakt van de Create Session-privilege. Bron: Techworld