Zur "Bierkiste" und den zwei "SQL-Injections".

Die Diskussion läuft per Mail. Die Voraussetzung für die von mir ausgelobten 2 Bierkisten war ausschließlich, das Ganze an Jan zu melden, und das ist erfolgt. Jan hat es mir weitergeleitet.

Ein realer Angriffsvektor "So kann man SQL auf Datenbanken beim PuF.Server injecten" ergibt und ergab sich daraus nicht. Die Diskussion dreht sich darum, wie unschön oder eventuell gar gefährlich das sonstige Verhalten des Servers bei "böswillig häßlichem" Input ist. An der Stelle gibt es noch keinen Konsens. Mein persönliches Vertrauen zum Server ist nicht angekratzt.

Ich würde mich nicht als vorrangigen Security-Professional bezeichnen, zu meinen beruflichen Aufgaben gehört aber auch, Security-Findings bei einem Konzern zu bewerten.

Im Detail gehen die Meinung dahingehend auseinander, in wie weit ein interner Serverfehler einer java.Text.ParseException mit kompletten Stacktrace, RegEx und dem zurück an den Webbrowser geworfen, nicht validierten Eingabewert ein Sicherheitsrisiko darstellt oder einfach nur "unschön" ist.

Es ist meiner Lesart nach eine Schwachstelle, die für Session-Diebstahl und (das wird schwieriger) Reverse Shells gerne verwendet wird.

Bis Ende der Woche habe ich von Jan grünes Licht ein wenig gegen die WEbsite zu klopfen. Mal sehen, ob ein Proof of Concept dabei rausfällt oder nicht.