Tomo información de formulario en todo mi sitio y uso los parámetros de consulta para sanear los datos. Cuando se pasa un tipo de datos no válido, se emite un aviso simple (no detallado) y recibo un correo electrónico con lo que se pasó.
Parece que en este ataque automatizado, uno de los cuadros desplegables se reinyecta en uno de los campos y se itera. ¿Cuál es el objetivo de esto y cómo puedo asegurarme de que no funcione?
Aquí hay algunos errores de muestra (editados abajo):
Invalid data Choose Calendars for CFSQLTYPE CF_SQL_INTEGER.
Invalid data -------------------------------- for CFSQLTYPE CF_SQL_INTEGER.
{20 more with every single option}
Edit: voy a tratar de explicar un poco mejor, ¡tengan paciencia conmigo! Aquí está el HTML:
<select>
<option value="0">Choose Calendars </option>
<option value="0">--------------------------------</option>
<option value="0">Select multiple calendars...</option>
<option value="0">--------------------------------</option>
<option value="0">Select a calendar from this list...</option>
<option value="1">Options 1-30</option>
(Rinse and repeat)
</select>
Cuando se selecciona un valor, se agrega a la URL ( GET ) y se envía: el ataque parece estar tomando todas las opciones como una matriz y colocándolas en la solicitud GET para intentar comprometer la SQL Espero que tenga sentido?