«SQLmap не видит, похоже нет тут никакой инъекции!»
С этих слов моего коллеги я присоединился к проекту по внешнему тестированию на проникновение одного из банков Азербайджана, и даже представить не мог насколько существенным будет результат.
В этой статье я расскажу вам о ручной эксплуатации уязвимости Time-based Blind SQL-injection в популярном ПО для геолокации, используемом банками для отслеживания положения и состояния инкассаторских машин и банкоматов. С полученным доступом к этому ПО потенциальному злоумышленнику не потребовалось бы:
- выслеживать инкассаторские машины для их последующего ограбления;
- торопиться, отламывая банкомат от стены;
- обшивать кузов Газели железом для перевозки украденного банкомата.