Ho una pagina che viene chiamata con un parametro:
www.mysite.it/mypage.asp?q=parametro
Da qualche tempo mi sono accorto che viene chiamata in questo modo:
http://www.mysite.it/mypage.asp?q=pa...64%20%31%3d%31
Traducento l'Esa:
www.mysite.it/mypage.asp?q=parametro and 1=1
Ovviamente questa pagina va in errore.
Che rischio si può correre con un attacco simile?
Io nella vita ho visto cose che voi astemi neanche potete immaginare.
E' un tentativo ti testare se il sito è vulnerabile a SQL injection. Se il sito è vulnerabile, l'attacante può inviare comandi sql direttamente al tuo database. Se presente, è una vulnerabilità grave. La soluzione è fare un test molto stretto sulla query string e sui singoli parametri passati.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Grazie.
Me ne sono accorto perchè genera un errore e, in caso di errore, si è dirottati su una pagina dove mi viene inviata una mail con i dettagli dell'errore.
Ora mi testo le altre pagine che richiedono parametri.
Io nella vita ho visto cose che voi astemi neanche potete immaginare.
Carino
solo una cosa ....
i bordi posti ai settori sotto i menu laterali,li farei della stessa larghezza del menu stesso
stai parlando del layout di fraweb.it?
In verità li ho staccati di proposito dalla banda laterale.
Comunque questo sito è più importante per il contenuto e per quello che ci si realizza più che per l'aspetto.
... comunque provo ad allargarli
Io nella vita ho visto cose che voi astemi neanche potete immaginare.
Permessi di invio
Rispondi quotando