¿Este sitio es vulnerable a la inyección de SQL? [cerrado]

-2

Tengo mi sitio construido desde una empresa. Leí sobre las vulnerabilidades del sitio web en Internet e hice algunas pruebas en mi sitio. Lanza estos errores.

  

Clave QueryString: se esperaba que TutorialId fuera del tipo System.Int64 pero no lo era.

y

  

Se produjo un error específico de la instancia o relacionado con la red al establecer una conexión a SQL Server. El servidor no fue encontrado o   no era accesible Verifique que el nombre de la instancia sea correcto y que   SQL Server está configurado para permitir conexiones remotas. (proveedor: nombrado   Proveedor de tuberías, error: 40 - No se pudo abrir una conexión a SQL   Servidor).

Creo que mi sitio es vulnerable al ataque de inyección de SQL. ¿Qué dices?

    
pregunta v0ld3m0rt 25.10.2013 - 09:13
fuente

2 respuestas

1

Esto no me llama la atención como una vulnerabilidad de Inyección de SQL. Sí, es cierto que los errores de SQL pueden ser un síntoma de una vulnerabilidad de inyección de SQL, pero eso no es lo único que causa errores de SQL (ni mucho menos).

Como lo mencionaron otros usuarios, no debería mostrar mensajes de error descriptivos en el navegador. Este tipo de mensajes vale su peso en oro para los usuarios malintencionados, ya que les permite entender lo que está sucediendo detrás de la escena.

Yo sugeriría establecer un laboratorio en el hogar que le permita realizar algunas pruebas de seguridad sin ir a la cárcel. Luego, encuentre algunos tutoriales de inyección SQL y pruébelos usted mismo.

Esto no llevará mucho tiempo y le garantizo que aprenderá los volúmenes ejecutando realmente un ataque de Inyección SQL en un sistema sobre el que tiene control completo.

Puede usar un escáner de vulnerabilidades como ZAP, pero tenga en cuenta que los escáneres automáticos a menudo devuelven falsos positivos y, lo que es más importante, le impiden entender cómo funciona el ataque, lo cual será clave para prevenirlo. Vulnerabilidades en tu código futuro.

    
respondido por el Abe Miessler 25.10.2013 - 17:46
fuente
1

Esos mensajes de error no implican inyección de SQL.

Le sugiero que use el escáner en ZAP para probar el sitio; Es una de las mejores pruebas que un principiante puede ejecutar de forma gratuita. Si tiene presupuesto, sería mejor contratar a una empresa de pruebas de lápiz profesional.

enlace

    
respondido por el paj28 25.10.2013 - 13:23
fuente

Lea otras preguntas en las etiquetas