Su un sito web realizzato in ASP (IIS 5, win2000 tutte le patch installate, SQL Server 2000 SP 3a) qualcuno è riuscito ad accedere all'applicazione (facile, le pws di alcuni utenti erano banali) ma soprattutto, usando solo l'URL del browser è riuscito a dare un comando di DROP ad una delle tabelle e ad eliminarla.

A parte che non capisco come si è fatto tornare il nome della tabella, ma questo tipo di attacco, come si chiama? come funziona? Come ci si difende? Ringrazio chiunque possa darmi documentazione al riguardo.

MN