GoogleBot e le sue SQL INJECTION

[Stealth]

già come da titolo una variante del bot di G fa sql injection su alcuni siti da lui scelti..ora bisogna evdere quali...

ecco l'esempio
poniamo di avere il sito www.sito.com/id= ...

ok lo sviluppo delle pagine può essere

www.sito.com/id=1
www.sito.com/id=2
www.sito.com/id=3
www.sito.com/id=4
www.sito.com/id=5
ecc..

ecco cosa fa lui

aggiunge www.sito.com/id=-1/**/UNION/**/SELECT/**/0,0,aid,pwd,0,0,0,0,0,0,0,0/**/FROM/**/nuke_authors/**/WHERE/**/radminsuper=1/**/LIMIT/**/1/*

ho scoperto questa cosa sul mio sito in firma e su questo sito

http://www.google.it/search?q=cache:...,0,0,0,0&hl=it

se cercate google vedrete nella riga della colonna cose interessanti...

[Alto]

Il tuo esempio e' assolutamente incomprensibile, il forum sbaglia ad interpretare il link. Prova ad usare uno shorturl.
Ad ogni modo google di sicuro non tenta nessuno sql injection. E' invece possibile, se ho capito quello che dici, che qualcuno abbia pubblicato sul web o su un newsgroup un link al sito il cui link contiene fra i parametri in get l'sql injection. In questo caso google indicizzerebbe la pagina. L'errore sta nel programmatore caprone che non e' capace di fare il proprio lavoro, non in google che si limita ad indicizzare una pagina dinamica con dei parametri.

[Stealth]

allora

immaginate di avere un sito fatto così

ilsito.com?id=1

questa pagina hacome parametro "id"

bene

il Gbot cerca di forzare il parametro aggiungento una stringa sql che inizia col "-1" quindi

ilsito.com?id=-1%20SELECT....

capito?

la storia del "programmatore caprone" non centra una mazza

[Martin_fly]

scusate l'ignoranza, ma cos'è una sql injection?

[Stealth]

http://freephp.html.it/articoli/view...olo.asp?id=123

[Alto]

Se google tenta di accedere (e se la trova la indicizza) alla pagina
ilsito.com?id=-1
e' soltanto perche' da qualche parte nella rete esiste un link a quella pagina.
Se google ha indicizzato una pagina tipo
ilsito.com?id=1' or 1=1 or id='1
qualcuno deve aver messo da qualche parte quel link, altrimenti google mica se le inventa le sql injection.

Originariamente inviato da Stealth
allora

immaginate di avere un sito fatto così

ilsito.com?id=1

questa pagina hacome parametro "id"

bene

il Gbot cerca di forzare il parametro aggiungento una stringa sql che inizia col "-1" quindi

ilsito.com?id=-1%20SELECT....

capito?

la storia del "programmatore caprone" non centra una mazza

[Stealth]

io credo di no,
ho controllato i log el server ed il percorso del bot.
dunque ha fatto accesso al robots, poi ha girato una decina di pagine a caso ed infine ha generato la query

[calsdn]

Ciao Stealth, mi mandi in pvt il log, il pezzo dove si vede la storia di navigazione del bot.

Sono molto curioso di sta storia di gg che fa slq injection.

ciao

[Stealth]

appena ho 1 pò di tempo ti mando il pvt

[uMoR]

a me sembra assurda come cosa, fra un po google si metterà a fare penetration test dei nostri siti ?

...