Tijdens de audit van de webapplicatie van een financiële dienstverlener in Londen werd een “SQL injection” kwetsbaarheid gevonden.
Oorzaak: gebrekkige validatie van de input door de applicatie.
Alle input werd doorgegeven aan de achterliggende SQL database zonder enige vorm van controle. Hierdoor was toegang tot de gehele database mogelijk. Alle informatie zoals contactgegevens en webtransacties kon worden getoond, gewijzigd en verwijderd.
Ons advies:
- Pas de webapplicatie aan zodat ingevoerde gegevens worden gevalideerd;
- Controleer de juistheid van de gegevens in de database.
Het ontwikkelteam van de opdrachtgever heeft de applicatie zodanig aangepast dat alleen gevalideerde input wordt verwerkt.