Problema com SQL Injection no QuickSearch

julio.zanutto · Novembro 17, 2024, 10:46pm

Fiz um sistema para uma empresa a qual contratou uma consultoria que realizou o Pentest no sistema, detectaram problemas de SQL Injection mesmo eu usando a macro sc_sql_injection(). Vou alterar para realizar consulta parametrizada via SQL, alguém sabe se é possível usar via macro do scriptase ? ou direto via PHP, via PHP estou em dúvida como realizar a consulta utilizando a conexão à base de dados configurada no scritpcase

Código que utilizei no aplicação de controle para o login:

$slogin = sc_sql_injection({login});
$spswd = sc_sql_injection({pswd});	

$sql = "SELECT 
		   priv_admin,
		   active, 
		   name, 
		   email,
		   company
		FROM sec_users 
		WHERE login = $slogin AND pswd = " .$spswd. "";

sc_lookup(rs, $sql);

Obrigado

InfinitusWeb · Novembro 15, 2024, 2:58pm

Porque concatena a senha mas o login não ?

buhlerax · Novembro 16, 2024, 1:01am

Aproveita e reporta a vulnerabilidade no feedback@netmake.com.br .

julio.zanutto · Novembro 17, 2024, 10:45pm

Haroldo, obrigado pela observação, não é necessário e não sei porque fiz dessa forma

julio.zanutto · Novembro 17, 2024, 10:46pm

Na verdade a vulnerabilidade está no QuickSearch, vou editar esse post colocando mais informações e ai reportar para a NetMake, obrigado Alexandre

herberto · Novembro 19, 2024, 10:34am

Bom dia, gostaria de ter uma análise por parte da NEtMake sendo uma assunto que me preocupa, penso que não só eu mas a comunidade em geral. Obrigada

buhlerax · Novembro 19, 2024, 12:48pm

É de interesse deles arrumarem. E irão arrumar um dia.

Mas nestas situação se ocorrer algo a responsabilidade é somente sua.

Cito:

DA CLÁUSULA DÉCIMA TERCEIRA: DA LIMITAÇÃO DE DANOS CONSEQUENTES

Cláusula 13.1: Este Software é distribuído sem quaisquer garantias de nenhum tipo. O risco de usar este software é totalmente assumido pelo LICENCIADO.

Cláusula 13.2: Em nenhum momento a LICENCIANTE poderá ser acusada por danos indiretos, acidentais ou por consequência, incluindo perda de trabalho, renda, lucros, uso, dados ou outras vantagens econômicas, mesmo que seja avisada anteriormente da possibilidade do dano.

Este tipo de situação ocorre também em outros contratos. Então abre o olho.

julio.zanutto · Novembro 19, 2024, 1:43pm

ficamos sujeitos a isso e as implicações podem ser bem sérias… a @Netmake precisa dar muita atenção a esses problemas sérios, a confiança no produto deles cai muito e isso pode atrapalhar a venda do produto também. Eu penso que uma vez identificado o problema caso demorem muito tempo para resolver e haja problemas sérios podem sim ser acionados via LGPD mesmo com essas cláusulas do contrato.

julio.zanutto · Novembro 22, 2024, 8:30pm

Hoje a Netmake deu solução para o problema do SQL Injection no QuickSearch, agradeço pelo empenho e solução rápida.

InfinitusWeb · Novembro 22, 2024, 10:43pm

Compartilhe por favor.

julio.zanutto · Novembro 23, 2024, 11:48am

Fizeram correções no ScriptCase (versão 9.11.008)