Исследователи безопасности Ян Кэрролл и Сэм Карри рассказали, что обнаружили уязвимость в системах входа в базы, которые Управление транспортной безопасности (Air Transport International) США использует для проверки членов экипажа авиакомпании на контрольно-пропускных пунктах аэропорта.
Ошибка позволяла любому человеку с «базовыми знаниями об инъекциях SQL» добавлять себя в списки, чтобы попасть в кабину коммерческого самолёта.
Исследователи обнаружили уязвимость во время проверки стороннего веб-сайта поставщика FlyCASS, который предоставляет небольшим авиакомпаниям доступ к системе Known Crewmember (KCM) Управления и системе безопасности доступа в кабину (CASS).
Читать на habr.com