Tuesday, February 22, 2011

Urban SQL injection

ביצוע מעניין של SQL Injection למערכת ניטור עירונית.
המצלמות מזהות מספר רישוי של כלי רכב.
המספר מוזן למערכת SQL ומוצג על גבי הלוח האלקטרוני.
ה"תוקף" הדפיס ותלה על קדמת מכוניתו פקודת SQL למסד הנתונים.
התוצאה -- הלוח מציג את מה שהתוקף רצה (ונזק למסד הנתונים).

המקור: הבלוג The Old School