SQL注入漏洞暴露近百万条星巴克财务记录!

2019-08-13 14:56:04 admin


究人员本周透露,一个关键的SQL注入漏洞暴露了存储在星巴克企业数据库中的近百万条财务记录。



Eugene Lim,又名spaceraccoon,在通过该公司在HackerOne上的bug赏金计划向星巴克报告该漏洞后,赚了4,000美元。 安全漏洞于4月8日确定,并在两天内修补。 他向HackerOne提交的漏洞报告于8月6日公布。


值得注意的是,4000美元是星巴克通过其Bug奖励计划为关键漏洞支付的最高金额。这家咖啡巨头的平均奖金是250美元,迄今为止支付的总额超过了40万美元。

据Lim称,他首先检查目标端点是否存在文件上传漏洞,然后在注意到它已经运行Microsoft Dynamics AX企业资源规划(ERP)平台后,测试它是否存在XXE漏洞。

在他试图发动XXE攻击失败后,他决定转向其他潜在目标。 大约一个月后,他决定重新访问终点并检查SQL注射,他很快就发现了。

“所以我有一个SQL注入 - 但如果数据库未被使用或可以忽略不计呢?我决定测试三件事:数据库中的数据类型,数据量和数据的新旧程度。但是,我很快遇到了障碍:作为企业数据库,Microsoft Dynamics AX非常庞大:快速检查显示数据库有数千个表。我必须找到并专注于主表,但我应该从哪里开始?“Lim在给星巴克的报告中写道。

他补充说:“幸运的是,Microsoft提供了有关Dynamics AX的在线文档。 经过一番研究,我找到了默认的主表和相关列。 几分钟后,答案就出现了。截至去年,有近百万条记录包括真实的会计信息。我立即停止测试并撰写了我的报告。

研究人员表示,数据库存储了会计和其他财务记录,包括税收、收据和工资数据。


文章翻译自:Securityweek


猜你喜欢  

智联招聘回应16万份简历泄露:积极协助相关部门进行调查

刷新下限的安卓流氓软件:拒绝权限申请 依旧收集用户隐私

警惕!2500 万 Android 设备被“Agent Smith”恶意软件感染

国际知名酒店万豪集团因泄露 3.83 亿名客户信息,或将面临英国 ICO巨额罚款

Zoom Mac版安全漏洞曝光:恶意网站可轻松劫持摄像头

18家企业,33款APP被通报为违规软件,你的手机里有吗?

ICSI:研究称多达1325个Android应用未经许可收集用户数据

特朗普称美国军舰击落伊朗无人机,双方紧张局势再度升级!

93%的色情网站向第三方泄露数据,隐身模式也无济于事

可AI换脸定制女星淫秽视频?700部百元打包卖!

知名色情网站4名骨干落网!包括一名哈尔滨“女神”,她连自己都“下手”……


喜欢就分享一下吧~


服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00