Script malicioso a través de sql-injection

Question

Script malicioso a través de sql-injection

#1 de Jesse Ivy (1 votos)

3

Uno de mis clientes tuvo problemas para hacer una publicación en su blog, y cuando miré la base de datos descubrí que la tabla de boletines (que envía correos electrónicos sobre las publicaciones del blog) tenía un script malicioso.

Yaquesolosoyundesarrolladordeaplicacionesparaprincipiantesnovato,notengoideadeloqueharíaestescript.¿Podríaalguienayudarmeconelobjetivodelatacante?

Además,mientrasmirabalaipdelatacante(quenoestabaofuscada),pudeencontrarqueestabausandounauniversidadparahacerlo.(Nomuylejosdedondeestoyydelaubicacióndemicliente)

Estoyusandounavalidacióndeclienteytambiénestoyvalidandolosdatosenmiback-endconregex.Yestasecuenciadecomandosnocoincideconlosparámetros,porloquesospechoquehizounapublicaciónenlabasededatos.

¿Cómopuedoprevenirestetipodeataque?

¿Yquéqueríaelatacante?

EDIT:

Segúnlosolicitado,elcódigo:

sample@email.tstsample@email.tst'and2*3*8=6*8and'sfn7'='sfn7sample@email.tst" and 2*3*8=6*8 and "sxju"="sxju
sample@email.tst%' and 2*3*8=6*8 and 'l6b4'!='l6b4%
sample@email.tst&n945604=v918673
sample@email.tst'"()&%<acx><script >j9ml(9550)</script>
sample@email.tst_9225

Lo siento, si este no es el lugar para hacer esta pregunta, pensé que podría no ser una pregunta de StackOverFlow.

web-application sql-injection attack-prevention

pregunta Andre Aquiles 11.01.2018 - 14:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application sql-injection attack-prevention

¿Es posible explotar PHP sin serializar sin clases? [duplicar] Antivirus de la consola central para computadoras Linux en LAN o solución equivalente

score 1 · Answer 1

Cosas interesantes. Debería ser bastante halagador para convertirse en el objetivo, supongo.

Nunca he atrapado a nadie así. Francamente, creo que la línea operativa es sample@email.tst '"() &% j9ml (9550) donde aparentemente están intentando ejecutar una función llamada" j9ml ". Aunque no estoy seguro. No me preocuparía. Mucho, a menos que necesite mantener un blog ultra seguro o hay un huevo en su cara (el spam está sucediendo o lo que sea).

Estoy de acuerdo con @jcaron en que la mejor defensa es parametrizar todas las consultas y procedimientos almacenados. Es decir, debe usar la sintaxis de signo de interrogación que cita todas las entradas del usuario y evitará este tipo de ataque.

Es importante también reconocer que puede no ser un ataque malicioso. El niño probablemente está jugando. Posiblemente podría ser una tarea, no creo que ejecutar una función en un sitio no sea necesariamente malicioso o ilegal.