Uno de mis clientes tuvo problemas para hacer una publicación en su blog, y cuando miré la base de datos descubrí que la tabla de boletines (que envía correos electrónicos sobre las publicaciones del blog) tenía un script malicioso.
Yaquesolosoyundesarrolladordeaplicacionesparaprincipiantesnovato,notengoideadeloqueharíaestescript.¿Podríaalguienayudarmeconelobjetivodelatacante?
Además,mientrasmirabalaipdelatacante(quenoestabaofuscada),pudeencontrarqueestabausandounauniversidadparahacerlo.(Nomuylejosdedondeestoyydelaubicacióndemicliente)
Estoyusandounavalidacióndeclienteytambiénestoyvalidandolosdatosenmiback-endconregex.Yestasecuenciadecomandosnocoincideconlosparámetros,porloquesospechoquehizounapublicaciónenlabasededatos.
¿Cómopuedoprevenirestetipodeataque?
¿Yquéqueríaelatacante?
EDIT:
Segúnlosolicitado,elcódigo:
sample@email.tstsample@email.tst'and2*3*8=6*8and'sfn7'='sfn7sample@email.tst" and 2*3*8=6*8 and "sxju"="sxju
sample@email.tst%' and 2*3*8=6*8 and 'l6b4'!='l6b4%
sample@email.tst&n945604=v918673
sample@email.tst'"()&%<acx><script >j9ml(9550)</script>
sample@email.tst_9225
Lo siento, si este no es el lugar para hacer esta pregunta, pensé que podría no ser una pregunta de StackOverFlow.