[Jan Eriksson]

Tänkte dela med mig av en liten upptäckt. På en liten lokal hobby sida som vi har och som skapades första gången under förra millenium hade vi tydligen glömt ett litet SQL-hål. Nu har en kod börjar spridas genom detta hål och en sökning på nätet visar att problemmet är väldigt stort.

Det som SQL-injection gör är att lägga till en script tag som i sin tur pekar mot en javascript på en annan server och den i sin tur mot något cgi-script.

Söker ni på google, "b.js" så ser ni att otroligt många är smittade av detta. Kanske ska ni kolla era serverar/sidor?

[mephisto73]

Hittade följande http://www.webmasterworld.com/databa...ql/3657200.htm om problemet.

Kanske dags att se över sina queries...

[Jan Eriksson]

Lite mer info för den som är intresserad.

http://myitforum.com/cs2/blogs/cmosby/arch...orm-center.aspx

[tartareandesire]

Trist att ni blev angripna men jag tror de flesta som hänger här är ganska väl medvetna om riskerna med "SQL injections". Skönt att ha hittat hålet.

[Jan Eriksson]

Citat:

Originally posted by tartareandesire@Jun 18 2008, 14:02
Trist att ni blev angripna men jag tror de flesta som hänger här är ganska väl medvetna om riskerna med SQL injections. Skönt att ha hittat hålet.

Absolut, i vårt fall var koden skriven runt 1998-99 och var en liten "lekstuga"...
Den låg dock kvar ute på nätet så roboten som sprider detta script hade hittade den.

Söker man på nätet så ser man att runt 30 000 svenska sajter har drabbats så att skriva om detta problem på WN är nog igen dum ide.

Sök på Google

[allstars]

Förstår jag det rätt att scriptet planteras genom SQL-injections (querystring eller formulär) lyssnar på sedan på inloggningar för att få tag upp uppgifter till databasen/adminsystem?

[Vimp]

Det är busenkelt att skydda sig mot SQL injections. Kör man .NET så bör man defintivit använda valfri klass som implementerar IDbCommand och köra parametrar. För ASP så är det ADODB.Command som gäller.