Lavoro con un'azienda che crea software di marketing, di recente abbiamo creato un forum in modo da poter parlare con utenti che hanno bisogno di supporto.
Sono l'amministratore principale di questo forum e un utente, chiamiamoli person1
, ha cercato di eseguire codice PHP nei commenti. Inizialmente pensavo che forse si stesse riferendo alla domanda, ma i loro commenti iniziarono a essere contrassegnati come spam e necessitavano di revisione. Dopo una manciata di commenti, ho deciso di eseguirne l'IP.
Avanti veloce un mese o giù di lì, e ora qualcuno ha compilato tutti i moduli sul nostro sito, nella slot del nome hanno usato lo stesso username person1
, ma ora stanno provando ad aggiungere il codice html negli input. Ogni invio di moduli viene inviato per e-mail e mostra che è stato in grado di eseguire un tag immagine e un tag nel campo. Le immagini non erano dannose o altro, solo immagini di gatti, ma i collegamenti erano cose come http://www.phishing-site.com
e http://www.evil.com
. Inoltre, hanno provato a eseguire alcune istruzioni SQL nella speranza di eliminare il nostro DB.
Alla fine ho cercato online il loro nome utente e ci sono più account con lo stesso nome seduti in coda per bounty di bug di aziende come Paypal, Apple e Windows. È possibile che stiano semplicemente eseguendo uno script per cercare bug nel nostro sistema o stanno cercando di fare qualcosa di più dannoso? Quale potrebbe essere una possibile soluzione per questo?