Prendo l'input di forma in tutto il mio sito e utilizzo i parametri di query per disinfettare i dati. Quando viene passato un tipo di dati non valido, viene lanciata una semplice notifica (non dettagliata) e ricevo un'email con quello che è stato passato.
Sembra che in questo attacco automatico, una delle caselle a tendina sia reintrodotta in uno dei campi e iterata attraverso. Qual è l'obiettivo di questo, e come posso assicurarmi che non funzioni?
Ecco alcuni errori di esempio (modificati):
Invalid data Choose Calendars for CFSQLTYPE CF_SQL_INTEGER.
Invalid data -------------------------------- for CFSQLTYPE CF_SQL_INTEGER.
{20 more with every single option}
Modifica: cercherò di spiegare un po 'meglio, sopportami! Ecco l'HTML:
<select>
<option value="0">Choose Calendars </option>
<option value="0">--------------------------------</option>
<option value="0">Select multiple calendars...</option>
<option value="0">--------------------------------</option>
<option value="0">Select a calendar from this list...</option>
<option value="1">Options 1-30</option>
(Rinse and repeat)
</select>
Quando viene selezionato un valore, viene aggiunto all'URL ( GET
) e inviato - l'attacco sembra prendere tutte le opzioni come array e inserirle nella richiesta GET
per provare a compromettere il SQL. Spero che abbia senso?