瑞士 BPC 的银行支付系统 SmartVista 存在 SQL 注入漏洞

HackerNews.cc 10 月 12 日消息，安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞，允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏感信息，其中包括用户账号与密码。不过，由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应，因此他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。

美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示，宣称由于该攻击活动只能通过经身份验证的前端用户触发，因此攻击者可以通过该漏洞后入侵系统、窃取重要信息。

Rapid7 专家发现，对于访问 Transaction 接口的平台需要用户提供卡号、帐号，以及交易日期三个字段。然而，由于 SmartVista 前端缺乏输入验证，因此不会对交易模块中输入的卡号或帐号进行检测。不过，卡号仅接受确切的字段以便提供输出。如果事先并不知道卡号，攻击者也可通过该字段启动 布尔型 SQL 注入。但倘若提供了正确的注入语句（如’或’1’=’1）时，数据库将延迟五秒，从而产生一个基于时间的 SQL 注入向量。此外，攻击者还可利用该漏洞强制查询数据库，从而导致访问信息在线暴露。

目前，Rapid7 安全专家建议使用 SmartVista 的企业安全更新系统至最新版本，同时采用 Web 应用程序防火墙，以便保护平台免受 SQL 注入攻击。

原作者：Pierluigi Paganini，译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文链接。