Ho creato un semplice script CGI in esecuzione su un server Web in cui un utente può accedere utilizzando un nome utente e una password. Il nome utente e la password sono inseriti tramite un modulo html e il modulo POST i dati al server web.
Registro gli accessi e questo è quello che ho trovato accaduto ripetutamente - circa 10 tentativi
Per nome utente che stanno inserendo:
') declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --
e per password:
1
Un sacco di leggere variazioni. Ecco un altro tentativo:
username:
John
password:1 declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --
Questa è una sorta di comando SQL? Una procedura memorizzata? Cosa pensi che stiano cercando di ottenere?
Ci sono suggerimenti sulle misure che dovrei introdurre per evitare che questo genere di cose accadano?