Questo sito è vulnerabile all'iniezione SQL? [chiuso]

-2

Ho il mio sito creato da un'azienda. Ho letto delle vulnerabilità del sito Web su Internet e ho fatto dei test sul mio sito. Getta questi errori.

QueryString key:TutorialId was expected to be of type System.Int64 but was not.

e

A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server).

Penso che il mio sito sia vulnerabile all'attacco di SQL injection. Che cosa dici?

    
posta v0ld3m0rt 25.10.2013 - 09:13
fonte

2 risposte

1

Questo non mi balza come una vulnerabilità di SQL Injection. Sì, è vero che gli errori SQL possono essere un sintomo di una vulnerabilità di SQL Injection, ma non è l'unica cosa che causa errori SQL (non da molto tempo).

Come menzionato da altri utenti, non dovresti visualizzare messaggi di errore descrittivi nel browser. Questi tipi di messaggi valgono il loro peso in oro per gli utenti malintenzionati in quanto consente loro di capire cosa sta succedendo dietro le quinte.

Suggerirei di creare un laboratorio a casa che ti consenta di eseguire alcuni test di sicurezza da solo senza andare in prigione. Quindi trova alcuni tutorial di SQL Injection e provali tu stesso.

Questo non richiederà molto tempo e garantisco che imparerai i volumi eseguendo effettivamente un attacco SQL Injection su un sistema su cui hai il controllo completo.

Puoi usare uno scanner di vulnerabilità come ZAP ma tieni presente che gli scanner automatici spesso restituiscono falsi positivi e, cosa più importante, ti impediscono di capire effettivamente come funziona l'attacco che sarà fondamentale per prevenire vulnerabilità nel tuo codice futuro.

    
risposta data 25.10.2013 - 17:46
fonte
1

Questi messaggi di errore non implicano l'iniezione SQL.

Ti suggerisco di usare lo scanner in ZAP per testare il sito; è uno dei test migliori che un principiante può eseguire gratuitamente. Se disponi di un budget, sarebbe meglio assumere una società di test delle penne professionale.

link

    
risposta data 25.10.2013 - 13:23
fonte