He creado un script CGI simple que se ejecuta en un servidor web donde un usuario puede iniciar sesión con un nombre de usuario y contraseña. El nombre de usuario y la contraseña se ingresan a través de un formulario html y el formulario envía los datos al servidor web.
Registro los inicios de sesión y esto es lo que encontré que sucedió repetidamente: aproximadamente 10 intentos
Para el nombre de usuario que están ingresando:
') declare @q varchar (8000) seleccione @q = 0x57414954464F522044454C4159202730303A30303A313527 exec (@q) -
y para la contraseña:
1
Muchas variaciones leves. Aquí hay otro intento:
nombre de usuario:
John
contraseña:1 declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --
¿Es este un tipo de comando SQL? ¿Un procedimiento almacenado? ¿Qué crees que están tratando de lograr?
¿Hay algún consejo sobre las medidas que debería introducir para evitar que ocurra este tipo de cosas?