Ciao a tutti .
Ho un portale PHP + Mysql . Ho notato che il portale poteva essere attaccato da Sql Injection .
E' possibile che abbiano fatto degli inserimenti in tabella trammite queste tecniche ?
Oppure il danno si limita solo al fatto che è possibile che han visto dei dati riservati ???
Grazie
dipende dallo script vulnerabile...
Che tipo di query poteva essere corrotta? Una INSERT, una SELECT?
Puo' darsi niente, puo' darsi entrambi.... Non e' automatico che se non sei protetto prendi l'influenza, d'altronde potresti prenderla anche se sei vaccinato. Lo devi sapere tu se i tuoi dati sono integri o se sono in qualche modo stati alterati...
L'articolo che sicuramente conosci... poi con una ricerca su google trovi millanta argomenti. Ho trovato pure un sito che raccoglie username e password in un db. Tu gli passi l'url e lui ti rende un nick ed una password da utilizzare su quell'URL ....
http://freephp.html.it/articoli/view...olo.asp?id=123
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
significa che nn è sicuro registrare in una tabella del database username e password degli utenti?[supersaibal]Originariamente inviato da piero.mac
Puo' darsi niente, puo' darsi entrambi.... Non e' automatico che se non sei protetto prendi l'influenza, d'altronde potresti prenderla anche se sei vaccinato. Lo devi sapere tu se i tuoi dati sono integri o se sono in qualche modo stati alterati...
L'articolo che sicuramente conosci... poi con una ricerca su google trovi millanta argomenti. Ho trovato pure un sito che raccoglie username e password in un db. Tu gli passi l'url e lui ti rende un nick ed una password da utilizzare su quell'URL ....
http://freephp.html.it/articoli/view...olo.asp?id=123 [/supersaibal]
VVoVe:
Mai detto quello.... :master:[supersaibal]Originariamente inviato da robertes
significa che nn è sicuro registrare in una tabella del database username e password degli utenti?
Ma se degli utenti si registrano con molti nick e poi spargono l'info di nick e pwd a cani e porci.... dimmi che c'entra il db.
Se poi qualcuno raggruppa su un db url-nick-password e li mette free open ....
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
avevo capito male!
Avevo sia query di insert che di update che di select . . .
Quali dite che sono quelle vulnerabili ?
TUTTE ?
Ma perche' non controlli i dati che hai?[supersaibal]Originariamente inviato da DarioN1
Avevo sia query di insert che di update che di select . . .
Quali dite che sono quelle vulnerabili ?
TUTTE ?
Puo essere tutto. come puo' essere niente.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Scusate , ma potete mostrarmi un semplice esempio di come
un tizio può inserire un record in tabella ???
Riguardo il forzare il login e ottenere la lista dei campi
del DB è tutto chiaro , ma non capisco come possa inserire
dei dati . . .
Si possono inserire dei dati solo se il sistema accetta le select annidate. Sappi che le SQL injection sono del linguaggio SQL e non di un database specifico. Ora non chiedere come si fa. Cerca su google ... troverai millanta pagine che ti spiegano tutto con dovizia di particolari. Sono pure argomento scolastico.[supersaibal]Originariamente inviato da DarioN1
Scusate , ma potete mostrarmi un semplice esempio di come
un tizio può inserire un record in tabella ???
Riguardo il forzare il login e ottenere la lista dei campi
del DB è tutto chiaro , ma non capisco come possa inserire
dei dati . . .
Inoltre tieni presente che se ti frego la password le query poi le faccio da admin e non con le injection.....
Altra cosa... queste injection sono come le pulci dei fagiolini, le bagni alla sera con acqua fredda e le stecchisci. In pratica sono le cose piu' semplici da parare ... basta un po' di buon senso.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Permessi di invio
Rispondi quotando