- Home
- Categorie
- Coding e Sistemistica
- Coding
- Attacco continuo su asp e sql
-
Attacco continuo su asp e sql
Salve a tutti, se c'è qualche anima pia che mi puo dare una mano........
Ho un quotidiano online che è continuamente vittima di sql injection.
Non sono un mostro di programmazione ma i replace dei codici riservati, i blocchi sugli accessi a user e password e i bliocchi sulla barra degli indirizzi l'ho gia messi. Ho spostato anche la porta dell sql
Non so piu che fare perche gli attacchi continuano:x
Sia benedetto a vita chi mi da una dritta....:o
-
Ciao, scusami ma non puoi scoprire le parti vulnerabili? Già se sulle query utilizzi i parametri rischi molto meno per il sql injection.
-
@cali1981 said:
Ciao, scusami ma non puoi scoprire le parti vulnerabili? Già se sulle query utilizzi i parametri rischi molto meno per il sql injection.
Spiegati meglio..... sono così disperato che non seguo più lucidamente il filo logico
-
Innazitutto controlla tutte le query che prendono valori da url o textbox, e metti a posto quelle.
-
@cali1981 said:
Innazitutto controlla tutte le query che prendono valori da url o textbox, e metti a posto quelle.
ma mi sembra di averle riguardate e bloccate tutto cribbio:?
-
allora come ti accorgi dei sql injection?
-
gli ho messo questa funzione dove c'erano delle select
function antinj(txt)
testo=trim(txt)
testo=replace(testo,"%20"," ")
testo=replace(testo,"'","''")
testo=replace(testo,"@","--")
testo=replace(testo,"%","--")
testo=replace(testo,"update","--")
testo=replace(testo,"DECLARE","--")
testo=replace(testo,"declare","--")
testo=replace(testo,"a.","--")
testo=replace(testo,"b.","--")
testo=replace(testo,"set","--")
testo=replace(testo,"' having 0=0--","--")
testo=replace(testo,"' group by members.UserID having 0=0--","--")
testo=replace(testo,"' group by members.UserID, members.Password having 0=0 --","--")
testo=replace(testo,"' union select min(UserID),1,1,1 from members where UserID > 'a'--","--")
testo=replace(testo," ' union select Password,1,1,1 from members where UserID = 'admin'--","--")
testo=replace(testo,"' or 0=0-","--")
testo=replace(testo,"test' or 0=0--","--")
antinj=testo
end function
-
@cali1981 said:
allora come ti accorgi dei sql injection?
ah non dubitare me ne accorgo
x:x
vado sul sito e non funziona niente..... apro sql manager e vedo che in tutte o parte delle tabelle c'è stato inserito (a volte tagliando il contenuto delle tabelle stesse) un codice <script src= eccetera eccetera
-
A che serve questa funzione?
-
@cali1981 said:
A che serve questa funzione?
a non permettere che vengano usati caratteri riservati nell'inserimento o nell'intercettazione di select
Ad esempio se usi un ' ti rimpiazza con 2' e sql non ti puo rendere una stringa di errore
-
ok allora che altri problemi ci sono?
-
eh,..... che altri problemi ci sono?
che mi entrano ugualmente.... non so da dove ma mi entrano
-
ah quindi quello script in realtà non funziona. Sicuro di averlo messo in tutte le parti tipo textbox o altri input?
-
si dannazione.......e non ne cavo le zampe....
-
A me il sito va molto male, hai controllato gli id che passi nella url? Quali sono le tabelle con <scrip...?
-
ecco ...in questo momento siamo sotto attacco
-
capisco. Gli id delle notizie li controlli? Quali sono le tabelle? In ogni caso, cerca tramite log di capire chi è se ce la fai...
-
sono disperato.....
-
Si ho capito, ma rispondi e vediamo di risolvere...
-
DIMMI che devo rispondere.....vuoi le password di accesso dell sql?
se vuoi dammi il tel che ti telefono