- Home
- Categorie
- Coding e Sistemistica
- Coding
- Attacco continuo su asp e sql
-
@cali1981 said:
Ti chiedevo, gli id delle notizie, li controlli? Cioè quando fai idn=...? Quali sono le tabelle dove trovi dentro <scrip...?
il problema è quello...... un po tutte le tabelle sono soggette a iniezione.... è questo quello che mi fa impazzire
-
Capisco, quello è possibile farlo perchè sql restituisce la lista delle tabelle, quindi un volta che si è dentro si può fare quello che si vuole anche non conoscendo il nome delle tabelle. Le stringhe o numeri passati tramite url li controlli?
-
Procedi con logica e non devi assolutamente farti prendere dal panico.
Prima cosa fondamentale guarda nei log files se trovi qualche informazione riguardo particolari stringhe.
Seconda potrei essere attaccato da uno di quei "bot" che eseguono sql injection a tappeto infatti loro usano un codice in esadecimale o qualcosa di simile dove poi usando una conversione con il comando CAST si trasformano in istruzioni sql dove non fanno altro che inserire in ogni campo testuale sia ntext sia nvarchar un codice <script.... che mira a far eseguire sulla macchina del tuo visitatore un codice javascript maligno, se non ricordo male ci sono diverse varianti ed il codice javascript che ti inseriscono risiede su server .cn (Cinesi).Ora leggi i log files e se non ti riportano le querystring modifica le opzioni di IIS affinche te le includano.
Se invece non entrano dal web ma direttamente in sql server, l'unico modo è cambiare le pass dell'utente "sa" e degli utenti che utilizzi per la connessione al db.
Facci sapere, non andare nel panico che tutto si risolve
-
li controllo..... ma non serve a niente.
Sto pensando di fare qualcosa per non far passare a prescindere qualunque istruzione che abbia <script src= ma per il momento non mi viene in mente niente
-
@tonyx said:
Procedi con logica e non devi assolutamente farti prendere dal panico.
Prima cosa fondamentale guarda nei log files se trovi qualche informazione riguardo particolari stringhe.
Seconda potrei essere attaccato da uno di quei "bot" che eseguono sql injection a tappeto infatti loro usano un codice in esadecimale o qualcosa di simile dove poi usando una conversione con il comando CAST si trasformano in istruzioni sql dove non fanno altro che inserire in ogni campo testuale sia ntext sia nvarchar un codice <script.... che mira a far eseguire sulla macchina del tuo visitatore un codice javascript maligno, se non ricordo male ci sono diverse varianti ed il codice javascript che ti inseriscono risiede su server .cn (Cinesi).Ora leggi i log files e se non ti riportano le querystring modifica le opzioni di IIS affinche te le includano.
Se invece non entrano dal web ma direttamente in sql server, l'unico modo è cambiare le pass dell'utente "sa" e degli utenti che utilizzi per la connessione al db.
Facci sapere, non andare nel panico che tutto si risolve
sto facendo un controllo dei log.... ti tengo aggiornato
ma se vuoi dare un occhio (sei un moderatore di giorgio e mi fido) ti do in pvt le credenziali di accesso ad uno dei nostri server in questione
-
Ti ringrazio per la fiducia se vuoi inviami il pm così controlliamo in 2.
-
Ciao, stavo vedendo il codice e non mi sembra che ci siano falle. Dopo ricontrollo meglio.
-
ok
-
Non ho avuto più tue notizie, sei riuscito a capire qualcosa in più?
-
ciao.... ho trovato uno script che ho meso in testa alle pagine asp che sembra funzionare..... purtroppo iniettavano in esadecimale e non erano facilmente rintracciabili.
Per adesso sembra ok ma ti tengo aggiornato
-
Ciao,
se vai qua però...
fiorentinanews.com/index.asp?cat='&des=newssistema
-
Ciao pippero1962,
Vedo che hai già risolto ma al tuo script mancavano tra le condizioni da bloccare:
- 1 = 1
- delete
- <script
se hai voglia di testarlo ...
-
Qualcuno aveva linkato sempre qui questo articolo che credo parli proprio di questo bot
w*ww.bigthink.it/virus/il-web-sotto-attacco-con-sql-injection/
keiske
-
ciao Thedarkita e grazie della dritta.... a buon rendere
-
Prego
c'è pure questo....
http://www.fiorentinanews.com/index.asp?cat=33&tipo='
-
sto correggendo
ce ne sono altri?:x
-
mi sembra non ce ne siano più...