공지사항에서 Sleep Based Blind Sql injection

Writer TenBird Program 수산아이앤티

WEB Resolved Critical No Reward Last Updated: Dec 30, 2021 (a month ago) Created: Oct 28, 2021

Weakness

Sleep Based Blind Sql injection

Description

개요

[취약점 제보에 대한 개요를 작성해 주세요]
공지사항에서 sleep 으로 인한 Blind Sql injection이 발생합니다.

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]

  1. [step1] https://www.soosanint.com/board/board_view.php?board_id=notice&no=8%27&page=1 으로 싱글쿼터 입력시 에러코드가 발생하는 것을 확인합니다.
  2. [step2] https://www.soosanint.com/board/board_view.php?board_id=notice&no=8+and+1=1+and+sleep(0.5)–±%27&page=1 을 입력시 참의 결과로 sleep 함수가 발생하는 것을 확인할 수 있습니다.
  3. [step3] https://www.soosanint.com/board/board_view.php?board_id=notice&no=8+and+1=0+and+sleep(0.5)–±%27&page=1 을 입력시 참의 결과로 sleep 함수가 발생지 않는 것을 확인할 수 있습니다.

예상되는 취약점 발생 원인

[해당 취약점이 발생하는 예상 원인을 서술해 주세요]
파라미터에 특수문자 미검증으로 인한 sql 인젝션이 발생합니다.

패치 방법

[해당 취약점을 패치하기 위한 대응 방법을 서술해 주세요]

사용자의 입력이 DB Query 에 동적으로 영향을 주는 경우, 입력된 값이 개발자가 의도한 값(요효값) 인지 검증합니다.

Impact

예상 결과 및 파급력

[해당 취약점으로 인해 예상되는 결과 및 파급력을 서술해 주세요. 시나리오가 포함되어도 좋습니다.]
https://www.soosanint.com/board/board_view.php?board_id=notice&no=8+and+1=0+and+sleep(0.5)–±%27&page=1 부분에서 and+1=0 부분에서 특정 함수를 실행시켜 db정보는 유출시킬 수 있습니다.

기타사항 및 레퍼런스

[그 외에 추가할 내용이 있다면 이곳에 작성해주세요.(스크린샷, 로그 등)]

  • [첨부파일 / 레퍼런스]

Timeline

TenBird submitted ticket. October 28, 2021 (3 months ago)
Dona BUGCAMP STAFF changed the status from 'Submitted' to 'Triaged'. November 11, 2021 (3 months ago)
Steve BUGCAMP STAFF posted a comment. November 12, 2021 (2 months ago)

안녕하세요. 제보자님
수산아이앤티 버그바운티 프로그램에 제보해주셔서 감사합니다.

제출해주신 티켓은 유효한 티켓으로 Time based SQL Injection 취약점이 발현되는 것을 확인하였습니다. 해당 티켓은 담당자에게 전달될 예정이며, 담당자 업무 일정으로 인해 패치가 지연될 수 있는점 참고부탁드립니다.

감사합니다.

Steve BUGCAMP STAFF changed the status from 'Triaged' to 'Patching'. November 12, 2021 (2 months ago)
Steve BUGCAMP STAFF changed the status from 'Patching' to 'Resolved'. December 30, 2021 (a month ago)

안녕하세요. 제보자님 제보해주신 SQL injection 취약점이 패치완료되었습니다.
수산아이앤티 버그바운티 프로그램에 참여해주셔서 감사드립니다.

Steve BUGCAMP STAFF changed the disclosure from 'Closed' to 'Disclosed (Full)'. December 30, 2021 (a month ago)