Iniezione SQL: attacchi di NEw scoperti sul mio sito. si prega di avvisare

-1

Recentemente scopri qualcuno che sta facendo le seguenti domande seacrch sul mio sito web!

1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465,0x6461726b34636f6465--    2620    3
6212    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465,0x6461726b34636f6465,0x6461726b35636f6465-    2620    5
6213    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465,0x6461726b34636f6465,0x6461726b35636f6465,    2620    29
6208    1 AND 1=2 UNION SELECT 0x6461726b31636f6465--   1819    1
6209    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465--  1819    1
6210    1 AND 1=2 UNION SELECT 0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465--

Aggiornamento : si tratta di query di ricerca, l'esecuzione di queste sul mio sito non mostra alcun output nel mio catalogo simile al risultato SQL effettivo. Quando eseguo questa stessa query nel mio database ottengo il seguente ritorno. Significa che ha funzionato?

6461726b31636f6465     6461726b32636f6465     6461726b33636f6465         
     6461726b34636f6465     6461726b35636f6465

Sto utilizzando Magento 1.9.2

Dovrei essere preoccupato?

Aggiornamento: ho letto su un thread simillar che se il risultato della query SQL si riflette nella pagina html della risposta da qualche parte, allora l'utente malintenzionato può vedere che la sua iniezione viene riflessa.

Questo non è il caso. Tuttavia i risultati potrebbero essere omessi.

    
posta John Doe 12.04.2017 - 17:24
fonte

2 risposte

2

Sì, questo è un attacco di SQL injection ma ho notato qualcosa.

In testo esadecimale:

6461726b31636f6465=dark1code , 6461726b32636f6465=dark2code e così via.

Ho anche notato il numero 6461726b32636f6465 e 2121121121212.1 utilizzati insieme come 0x6461726b31636f6465--2121121121212.1 che è dark1code!!!! .

Se cerchi 0x6461726b31636f6465--2121121121212.1 ottieni molti tentativi di iniezione SQL su altri siti web. Non so cosa sia ma sembra piuttosto strano. Forse è un software per SQLi che usa un sacco di script kiddie.

Vedi Qualcuno che cerca "0x6461726b33636f6465" - che tipo di exploit è questo?

    
risposta data 16.11.2018 - 17:57
fonte
0

L'utente malintenzionato sembra effettivamente testare le vulnerabilità di SQL injection, in particolare le vulnerabilità SQL sql injection ( link ). Sta cercando di vedere se la funzionalità di ricerca gli consentirà di leggere ulteriori dati dal database. Sembra che non stia tentando di scrivere alcun dato.

L'utente malintenzionato non ha bisogno di visualizzare un messaggio di errore per determinare se l'applicazione è vulnerabile a SQL injection. Nel tuo caso, lui o lei potrebbe anche solo cercare la presenza / mancanza di un messaggio di errore generico mostrato nella tua applicazione web. Se la tua applicazione era vulnerabile all'iniezione SQL, le istruzioni di unione avrebbero errato se il numero di colonne nell'istruzione unione non corrispondesse al numero di colonne nella tabella stessa. Presumibilmente, questo mostrerà una sorta di risultato di errore sul tuo sito web. L'autore dell'attacco continuerà a provare diversi numeri di colonne per vedere se il messaggio di errore scompare. Se il messaggio di errore scompare dopo aver utilizzato il numero corretto di colonne nell'istruzione SQL, l'utente malintenzionato sa che l'applicazione è vulnerabile all'iniezione SQL e l'autore dell'attacco tenterà probabilmente di utilizzare tale vulnerabilità per recuperare dati riservati, come la carta di credito informazioni, nome utente / password, ecc.

La tua applicazione conserva i registri delle query eseguite sul database (rispetto ai soli registri di ciò che l'utente ha digitato nella casella di ricerca)? Se le query che vengono eseguite sul database sono debitamente escapate, non sembra che ci sia nulla di cui preoccuparsi.

    
risposta data 12.04.2017 - 22:08
fonte

Leggi altre domande sui tag