Problema com SQL Injection no QuickSearch

Fiz um sistema para uma empresa a qual contratou uma consultoria que realizou o Pentest no sistema, detectaram problemas de SQL Injection mesmo eu usando a macro sc_sql_injection(). Vou alterar para realizar consulta parametrizada via SQL, alguém sabe se é possível usar via macro do scriptase ? ou direto via PHP, via PHP estou em dúvida como realizar a consulta utilizando a conexão à base de dados configurada no scritpcase

Código que utilizei no aplicação de controle para o login:

$slogin = sc_sql_injection({login});
$spswd = sc_sql_injection({pswd});	

$sql = "SELECT 
		   priv_admin,
		   active, 
		   name, 
		   email,
		   company
		FROM sec_users 
		WHERE login = $slogin AND pswd = " .$spswd. "";

sc_lookup(rs, $sql);

Obrigado

Porque concatena a senha mas o login não ?

Aproveita e reporta a vulnerabilidade no feedback@netmake.com.br .

Haroldo, obrigado pela observação, não é necessário e não sei porque fiz dessa forma

Na verdade a vulnerabilidade está no QuickSearch, vou editar esse post colocando mais informações e ai reportar para a NetMake, obrigado Alexandre

2 Curtidas

Bom dia, gostaria de ter uma análise por parte da NEtMake sendo uma assunto que me preocupa, penso que não só eu mas a comunidade em geral. Obrigada

2 Curtidas

É de interesse deles arrumarem. E irão arrumar um dia.

Mas nestas situação se ocorrer algo a responsabilidade é somente sua.

Cito:

DA CLÁUSULA DÉCIMA TERCEIRA: DA LIMITAÇÃO DE DANOS CONSEQUENTES

Cláusula 13.1: Este Software é distribuído sem quaisquer garantias de nenhum tipo. O risco de usar este software é totalmente assumido pelo LICENCIADO.

Cláusula 13.2: Em nenhum momento a LICENCIANTE poderá ser acusada por danos indiretos, acidentais ou por consequência, incluindo perda de trabalho, renda, lucros, uso, dados ou outras vantagens econômicas, mesmo que seja avisada anteriormente da possibilidade do dano.

Este tipo de situação ocorre também em outros contratos. Então abre o olho.

1 Curtida

ficamos sujeitos a isso e as implicações podem ser bem sérias… a @Netmake precisa dar muita atenção a esses problemas sérios, a confiança no produto deles cai muito e isso pode atrapalhar a venda do produto também. Eu penso que uma vez identificado o problema caso demorem muito tempo para resolver e haja problemas sérios podem sim ser acionados via LGPD mesmo com essas cláusulas do contrato.

1 Curtida

Hoje a Netmake deu solução para o problema do SQL Injection no QuickSearch, agradeço pelo empenho e solução rápida.

Compartilhe por favor.

Fizeram correções no ScriptCase (versão 9.11.008)

2 Curtidas