|
|||||||
|
|
|
 |
|
|
Strumenti |
14-05-2003, 07:32
|
#21 |
|
Senior Member
Iscritto dal: Apr 2003
Città: Monza
Messaggi: 2639
|
ve lo dico xkè giusto ieri ci hanno hackato.. attualmente i nostri 3 siti li ho messi offline e devo ricontrollarmi ogni pagina x precauzione, filtrando ogni passaggio parametri...
ah.-.. se il programmatore che c'era prima avesse passato un po + d tempo a mettere in sicurezza il sito... Cmq, fate attenzione a questo problema... il ";" è davvero pericoloso... |
|
|
|
21-05-2003, 11:51
|
#22 |
|
Senior Member
Iscritto dal: Mar 2002
Città: Italy/Usa
Messaggi: 2817
|
possibile soluzione
Premetto che non uso ASP ma bensì PHP...
 Ammotto di non aver mai affrontato il problema; che vi informo è presente anche nelle pagine generate con PHP. Il problema sostanziale è che il ";" permette di esegiure 2 query in serie, e dato che nelle mie pagine non capita che in una unica chiamate SQL faccio fare due query, ecco come ho risolto. sostituisco alla funzione che opera la query un fatta da me: ExecQuery($sql); che + o - opera così: function ExecQuery($sql) { if(substr_count($sql, ";")>0) { //INTRUSIONE } else { //tuutto ok } } in pratica controllo se c'è un ";" di troppo nella query.. 
__________________
"Utilizzando atomi pentavalenti drogheremo il silicio di tipo n; Utilizzando atomi trivalenti drogheremo il silicio di tipo p; Utilizzando della cannabis ci drogheremo noi e vedremo il silicio fare cose impossibili" - DSDT-HowTo |
|
|
|
|
21-05-2003, 20:41
|
#23 |
|
Senior Member
Iscritto dal: Mar 2002
Città: Italy/Usa
Messaggi: 2817
|
...a parte l'ottimo italiano in cui ho postato.....sembra funzionare e...ehm
(ammotto.....ah ah ah  )
__________________
"Utilizzando atomi pentavalenti drogheremo il silicio di tipo n; Utilizzando atomi trivalenti drogheremo il silicio di tipo p; Utilizzando della cannabis ci drogheremo noi e vedremo il silicio fare cose impossibili" - DSDT-HowTo |
|
|
|
|
21-05-2003, 23:13
|
#24 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
|
A meno che nella query non ci sia un controllo su un testo che contiene un punto e virgola funziona...
|
|
|
|
|
22-05-2003, 18:14
|
#25 |
|
Member
Iscritto dal: Feb 2002
Città: Padova
Messaggi: 146
|
...
il problema di sql injection può coinvolgere tutti i linguaggi di programmazione dinamica (non solo asp) e anche se si usa il POST per passare parametri...
bastano un paio di funzioni per evitare il peggio comunque... utilizzando il punto e virgola l'attaccante dovrebbe conoscere il database(cosa che non avviene normalmente), il vero pericolo sono le stringhe grimaldello come già detto da Mezzetti0903 ... non avete neanche un'idea di quante applicazioni più o meno fatte in casa si possano "bucare" con questo sistema... |
|
|
|
|
23-05-2003, 00:04
|
#26 | |
|
Senior Member
Iscritto dal: Mar 2002
Città: Italy/Usa
Messaggi: 2817
|
Re: ...
Quote:
cmq, la soluzione proposta prima da me(almeno in php) sembra fungere... ripeto il mio invito...se vi va ho un pò di spazio sul web per provare un pò di cose.. 
__________________
"Utilizzando atomi pentavalenti drogheremo il silicio di tipo n; Utilizzando atomi trivalenti drogheremo il silicio di tipo p; Utilizzando della cannabis ci drogheremo noi e vedremo il silicio fare cose impossibili" - DSDT-HowTo |
|
|
|
|
|
23-05-2003, 08:31
|
#27 |
|
Senior Member
Iscritto dal: Apr 2003
Città: Monza
Messaggi: 2639
|
io ora uso asp ,... cmq so anche php.-..
con asp faccio il controllo di tutte i parametri passati e guardo se hanno all'interno: ; -- ' ( ) SELECT DELETE UPDATE i primi 3 li conoscete ... le parentesi le tolgo xkè se (es.) prendo il login e pw da una text... potrei fare: VALORE LOGIN : LOGINVERA VALORE PW : (SELECT PASSWORD FROM TABELLA WHERE LOGIN="LOGINVERA") |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 14:24.
