El gran ataque de inyección SQL Lizamoon – Marzo-abril 2011



Bien – Viernes cosas empezaron a ponerse interesante en sitios de noticias de tecnología. La mayoría de los sitios estaban corriendo falsas historias de los Inocentes y una Websense incluyendo algunas se ejecutan con un gran ataque ocurre frente a muchos sitios web basados ​​en SQL. Los detalles son vagos – las personas se les dijo que buscará los archivos ur.php en su directorio web (que no es exactamente una buena prueba para ver si su sitio ha sido infectado por esta inyección de SQL…) “<script src = http://lizamoon.com / ur.php”> es un ejemplo del código que se introduce en bases de datos SQL y lo que hace, básicamente, es la fuerza de los visitantes a visitar un sitio scareware donde el malware puede ser instalado en su ordenador que dice que tiene un virus…. (¿Cuántos de los que hemos visto en el último 5-10 años?)

Uno de mis molestias con las noticias tecnológicas (y especialmente virus de noticias) la cobertura es que cuando una historia se vuelve lo suficientemente grande para ser cubierta por los grandes medios de comunicación, que nunca le hacen justicia. Quiero información. Lo que se esta atacando? ¿Qué son los programas vulnerables, ¿hay un patrón?


Esta es una de las cosas que me molesta acerca de la cobertura de esta particular bestia…. bien, bien, es una inyección SQL – es mysql? MS-SQL? alguna otra mezcla? ¿Es atacar WordPress o Drupal o Movable Type o lo que? No mucho detalle se encontraba. Hubo afirmaciones escandalosas de 4 millones de sitios infectados (que es muy exagerados.) La mejor estimación que he visto es en el 200,000+ serie. Las búsquedas de Google mostró millones de páginas con el texto sospechoso a pesar de que incluía varias páginas por sitio y muchos sitios que simplemente estaban informando sobre la hazaña.

So…. Sábado me preguntó acerca de ello y que no había sido capaz de hacer mucha invSontigación. So, Hice un poco de investigación y encontró que al parecer la mayoría de cada sitio afectado que habían sido identificados por Websense fue un back-end de Microsoft SQL. En ese momento la respiración un poco más fácil en el hecho de que no voy a actualizar con urgencia 50 más o menos MySQL motores de blogs basados ​​en… De hecho, después de leer un poco más lejos que en esencia se presentó el fin de semana como no tengo nada desplegado que depende de MS-SQL.

Son, Hoy estaba pensando que debe haber un patrón en cuanto a qué es vulnerable…. En cuanto a la Google búsqueda que muestra la propaganda de infectados de código….

Lo que veo. Páginas cfm, .asp, .aspx, He encontrado un sitio con esta alimentado por:

“Blog de Mango – Un motor de blogs de ColdFusion”

Veo muchos otros sitios que parecen ser la base de datos impulsada, pero no está claro qué motor de diseño del sitio que estoy lookiing a cabo. En realidad, el denominador común es la fusión asp / calor y un marco de Microsofts para aplicaciones web.

El mejor consejo que se da es que siempre se debe filtrar / filtrar los datos en bases de datos. En otras palabras, no me fío de los visitantes del sitio para poner en las cosas buenas de las formas. Confíe en ellos para tratar de romper a través de la base de datos por debajo por el uso de caracteres que se van a dar una pista a su base de datos que es el momento de hacer un comando en lugar de tratar la entrada de texto.

Hay un buen artículo sobre asp.net La prevención de inyección SQL.

Realmente es una reminiscencia de esta caricatura genial…. sobre pequeñas tablas de Bobby….

Dicho lo anterior…. parece que una mejor consejo es que paramaterize las llamadas SQL….

Sitio de buen tutorial sobre cómo evitar problemas de inyección SQL…

Sospecho que hay muchos cientos de propietarios de los sitios que aún no son conscientes de que estaban comprometidos.

Así que aquí está la flamebait – son pobres codificación SQL practica un rasgo común en el entorno de Microsoft kit de herramientas?

Dudo que sea sólo un problema de caja de herramientas de MS – aunque la proliferación de las “fácil de hacer que su sitio de base de datos impulsada por propia” conjunto de herramientas que parece fomentar el diseño descuidado. (Sí – Sé que… abiertos los motores de fuentes basadas en blogs han tenido su parte de las cuestiones de inyección SQL también….)

Hacer que sea fácil para cualquiera crear una página web de base de datos impulsada no significa que todos sigan las mejores prácticas para validar la entrada. (De hecho, en la mayoría de las cosas que he visto – facilitar las cosas parece animar a los atajos…)

Artículos Relacionados

Blog Traffic Exchange Artículos Relacionados
  • Macromedia Flash Player vulnerabilidad Una vulnerabilidad grave se ha encontrado en las versiones de Flash Player antes de la 7.0.19.0 Muchos sitios requieren Flash Player para poder ver varias características en el sitio (dependiendo del lugar fluctúa entre los anuncios de la navegación del sitio.) Un archivo SWF especialmente diseñado en un mando a distancia ......
  • Phishing - tantas fallas de explotar tan poco tiempo En la última semana hubo una valoración crítica y documentada de una vulnerabilidad de cross site scripting que había permitido que un estafador para hacerse pasar por un inicio de sesión de PayPal con el CERTIFICADO DE PAYPAL LEGIT SSL .... Brian Krebs en la revisión de seguridad tiene algunos detalles sobre algunas de las formas nuevas e interesantes ......
  • Tendencia decepcionante para los sitios de banca en línea Teniendo en cuenta lo fácil que es para que la gente se deje engañar por los sitios de phishing, uno pensaría que los bancos tratar de mantener la mayor cantidad "maneras fáciles de identificar un sitio bancario legítimo" como sea posible no lo haría que usted? Me refiero a, facilidad de uso es sin duda un gran punto de venta en el software de las cosas y aun web ......
Blog Traffic Exchange Sitios Web relacionados
  • Jillian Michaels: Ultimate Cyborg Bebé Jillian Michaels, el cuervo chica de pelo duro que puede patear el culo todos los días tiene un gran sitio! El sitio es la herramienta perfecta cortesía para ayudarle en su viaje de pérdida de peso. Si usted necesita motivación, Jillian entrega. Ella es grande en el aspecto de la fuerza mental de un cambio físico .......
  • Fortalecer la graduación de la página Web en tres pasos sin complicaciones Lista de sitios sustancial es importante para todos los propietarios de pequeñas empresas, Negocios especialmente Online. Cuanto mayor sea su sitio tiene un alto ranking en google éxito, el mejor tráfico del sitio web se convierte en. Y todo lo que creemos que más visitantes por lo general significa más ingresos. Entonces, ¿cómo en el impulso hecho de web ......
  • Essential Tips SEO Seguro, SEO se ha convertido definitivamente en una parte muy importante de marketing en línea. Así, por esa razón, usted debe equiparse con algunos consejos eficaces de SEO, por lo que realmente se puede dirigir el tráfico a su sitio web y aumentar su negocio. Bien, he aquí algunos consejos esenciales que pueden ......
en.pdf24.org    Enviar artículo como PDF   

Mensajes similares


Vea lo que sucedió este día en la historia de cualquiera de BBC Wikipedia
Buscar:
Palabras clave:
Amazon Logo

Los comentarios están cerrados.


Cambie a nuestro sitio móvil