Maybe when the OCR fails, it's passed to a human being to interpret. If the human being decides to enter the full line, and their entry form does no validation/sanitization, it's conceivable.<div><br></div><div>I've seen physical security system software (especially surveillance software). Unbelievably awful.</div>
<div><br></div><div>Still quite a long shot...<br><br><div class="gmail_quote">On Mon, Mar 22, 2010 at 7:53 AM, Red ShuttleGunner <span dir="ltr"><<a href="mailto:redshuttlegunner@gmail.com">redshuttlegunner@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div>perfectly reasonable question.  physical security systems are crap.  people who build video analytics software (that "we can read your licence plate on the far side of the corporate parking lot" stuff) are indeed the kind of microsoft koolaid-sipping idiot app programmers who would drop unscrubbed input into the backend.</div>


<div> </div>
<div>I love it.  will take this picture with me to ISC West (physical security conference this week in 'Vegas, where I'm doing a talk.)</div>
<div> </div>
<div>Yes, sensible developers aware of 21st century coding defenses could trivially survive this, were it to get back a rationally designed set of equipment that might read this.</div>
<div> </div>
<div>Like I said, not the folks running the monitoring cameras...<br><br></div>
<div class="gmail_quote"><div><div></div><div class="h5">On Sun, Mar 21, 2010 at 10:36 PM, Ozzy Satori <span dir="ltr"><<a href="mailto:ozzymandi@gmail.com" target="_blank">ozzymandi@gmail.com</a>></span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="padding-left:1ex;margin:0px 0px 0px 0.8ex;border-left:#ccc 1px solid"><div><div></div><div class="h5"><a href="http://i.imgur.com/RQcCi.jpg" target="_blank">http://i.imgur.com/RQcCi.jpg</a> 
<div><br></div>
<div>I know it's a long-shot, but I'm seeing the most epic civil-disobedience campaign in history.   </div>
<div><br></div>
<div>I'm a mobile client guy whose always depended on Database Programmers for my SQL stuff, but I'd love some tech feasibility opinions from people who know more than me.</div>
<div><br></div>
<div>Is this an injection vector that the vendors would have likely considered? </div>
<div><br></div><font color="#888888">
<div>-Ozzy.</div></font><br></div></div><div class="im">_______________________________________________<br>Noisebridge-discuss mailing list<br><a href="mailto:Noisebridge-discuss@lists.noisebridge.net" target="_blank">Noisebridge-discuss@lists.noisebridge.net</a><br>

<a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br><br></div></blockquote></div><br>
<br>_______________________________________________<br>
Noisebridge-discuss mailing list<br>
<a href="mailto:Noisebridge-discuss@lists.noisebridge.net">Noisebridge-discuss@lists.noisebridge.net</a><br>
<a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br>
<br></blockquote></div><br></div>