Gestisco un piccolo sito che esegue pagine ASP classiche vecchio stile con un back-end Access.
Recentemente, il sito è stato violato. L'autore dell'attacco è riuscito ad aggiungere una grande quantità di codice alla pagina index.asp. Per lo più erano contenuti statici, molti link a siti dubbi, quel genere di cose, con un po 'di scripting. Non mi sono fermato ad analizzare gli script - ho appena cancellato tutto e ripubblicato la pagina.
Non c'è niente in quella pagina indice che accetta input dinamici: nessuna casella di ricerca, nessun caricamento di file, nessuna sequenza di query. C'è altrove nel sito, che include alcuni semplici forum software, ma non in prima pagina.
Poiché non vi è alcun input sulla pagina che è stata compromessa, presumo che questo fosse un difetto nelle difese dell'ospite, e li ho avvertiti del fatto che potrebbe esserci un problema. Dopo un paio di giorni, sono tornati da me sostenendo che erano completamente sicuri e l'attaccante deve aver usato qualche forma di attacco per iniezione per fare il danno.
Questo mi ha sorpreso e allarmato, perché non ero consapevole del fatto che esistessero tecniche per usare l'iniezione su pagine che non accettavano alcun input. Ma la mia conoscenza della sicurezza non è grande, quindi se ci sono, voglio sapere di loro.
Quindi, come può un attacco di iniezione arrivare su una pagina che non ha una forma o una querystring? Oppure la mia società di hosting bluffa e c'è un possibile difetto nella loro sicurezza?