Mi chiedo se il webmaster normale possa ottenere alcune informazioni sull'iniezione SQL nei propri siti. Immagino sia scritto in qualche log, e solo se ti capita di vedere i log vedrai quell'attività, sbaglio?
L'hacker dovrebbe usare qualche proxy TOR per essere nascosto quando esegue alcuni test, o non è così esposto da essere considerato?
Ciò che verrà visualizzato dal difensore in questa situazione dipende in gran parte da quale registro sono stati installati e da dove si trova l'iniezione nella richiesta HTTP.
Se l'iniezione si trova in una richiesta GET (ad esempio http://vulnsite/vulnpage.php?id=5 ' OR '1'='1 ), questo verrà visualizzato nella maggior parte dei registri del server Web poiché di solito registrano la richiesta GET completa. Quindi un difensore vedrebbe probabilmente un gran numero di richieste alla pagina vulnerabile con dati insoliti nei parametri.
Se l'iniezione è in un POST HTTP (quindi come risultato dell'invio di un modulo), la maggior parte dei server Web non effettuerà il log in base all'impostazione predefinita. Il log del server Web mostrerebbe comunque un gran numero di richieste alla pagina con ogni probabilità, ma il dettaglio di esattamente ciò che stava accadendo non sarebbe immediatamente apparente. È possibile implementare la registrazione aggiuntiva, ma (AFAIK) non è l'impostazione predefinita nella maggior parte dei set-up.
Nella seconda parte della tua domanda. L'indirizzo IP da cui viene stabilita la connessione verrà registrato in entrambi i casi, quindi se questo è l'indirizzo originale del sistema degli utenti malintenzionati, potrebbe essere possibile risalire a un luogo oa una persona specifici. Poiché molti aggressori non provengono direttamente dai propri sistemi, ma escono tramite una VPN o un altro host compromesso. TOR sarebbe un'altra opzione ma da quello che ho visto le prestazioni di TOR potrebbero non soddisfare i requisiti per un rapido sfruttamento dei problemi di SQL Injection.
Leggi altre domande sui tag sql-injection