inyección SQL - NUEVOS ataques descubiertos en mi sitio. por favor avise

Navega tus respuestas
-1

¡Recientemente descubrí a alguien haciendo las siguientes consultas de Seacrch en mi sitio web! 

1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465,0x6461726b34636f6465--    2620    3
6212    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465,0x6461726b34636f6465,0x6461726b35636f6465-    2620    5
6213    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465,0x6461726b34636f6465,0x6461726b35636f6465,    2620    29
6208    1 AND 1=2 UNION SELECT 0x6461726b31636f6465--   1819    1
6209    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465--  1819    1
6210    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465--

Actualización : estas son consultas de búsqueda, ejecutarlas en mi sitio no muestra ningún resultado en mi catálogo que se parezca al resultado real de SQL. Cuando ejecuto esta misma consulta en mi base de datos, obtengo el siguiente retorno. ¿Esto significa que funcionó? 

6461726b31636f6465     6461726b32636f6465     6461726b33636f6465         
     6461726b34636f6465     6461726b35636f6465

Estoy ejecutando Magento 1.9.2

¿Debo estar preocupado?

Actualización: Leí en un hilo similar que si el resultado de la consulta SQL se refleja en la página html de respuesta, el atacante puede ver que su inyección se está reflejando.

Este no es el caso. Sin embargo, los resultados pueden omitirse.

    
pregunta John Doe 12.04.2017 - 17:24
fuente

2 respuestas

2

Sí, este es un ataque de inyección de SQL pero noté algo.

En texto hexadecimal:

6461726b31636f6465=dark1code , 6461726b32636f6465=dark2code , y así sucesivamente.

También he notado que el número 6461726b32636f6465 y 2121121121212.1 se usan juntos como 0x6461726b31636f6465--2121121121212.1 , que es dark1code!!!! .

Si busca 0x6461726b31636f6465--2121121121212.1 , obtendrá muchos intentos de inyección de SQL en otros sitios web. No sé qué es esto pero parece bastante raro. Tal vez sea un software para SQLi que están usando un montón de niños de script.

Ver Alguien buscando "0x6461726b33636f6465" - qué tipo de explotar es esto?

    
respondido por el Node13 16.11.2018 - 17:57
fuente
0

El atacante de hecho parece probar las vulnerabilidades de inyección de SQL, específicamente la inyección de SQL ciego ( enlace ) vulnerabilidades. Él / ella está tratando de ver si la función de búsqueda le permitirá leer datos adicionales de la base de datos. Él / ella no parece estar intentando escribir ningún dato.

El atacante no necesita ver un mensaje de error para determinar si su aplicación es vulnerable a la inyección de SQL. En su caso, él o ella también podrían estar buscando la presencia / falta de un mensaje de error genérico que se muestra en su aplicación web. Si su aplicación fuera vulnerable a la inyección de SQL, las declaraciones de la unión darían un error si el número de columnas en la declaración de la unión no coincide con la cantidad de columnas en la tabla en sí. Presumiblemente, esto mostrará algún tipo de resultado de error en su sitio web. El atacante seguirá intentando diferentes números de columnas para ver si el mensaje de error desaparece. Si el mensaje de error desaparece una vez que se usa el número correcto de columnas en la declaración SQL, el atacante sabe que su aplicación es vulnerable a la inyección de SQL, y el atacante probablemente intentará usar esa vulnerabilidad para recuperar datos confidenciales, como tarjetas de crédito información, nombre de usuario / contraseña, etc.

¿Su aplicación mantiene algún registro de las consultas que se ejecutan en la base de datos (en lugar de solo los registros de lo que el usuario escribió en el cuadro de búsqueda)? Si las consultas que se están ejecutando en la base de datos se escapan correctamente, entonces no parece tener nada de qué preocuparse.

    
respondido por el user52472 12.04.2017 - 22:08
fuente

Lea otras preguntas en las etiquetas

¿En qué desplazamiento está la clave pública en una cadena de certificado codificada DER? ¿Todavía es posible registrarse en una cuenta de Google sin verificación por SMS? (Marzo, 2013) [cerrado]