07/01/2009 sql injection attack στο ilug.gr

Άβαταρ μέλους
kargig
Sr. Member
Sr. Member
Δημοσιεύσεις: 448
Εγγραφή: 08 Νοέμ 2005, 21:42
Distro: Windows
Τοποθεσία: Ioannina
Επικοινωνία:

07/01/2009 sql injection attack στο ilug.gr

Δημοσίευση από kargig » 07 Ιαν 2009, 15:05

πριν λίγο στο ilug.gr:

Κώδικας: Επιλογή όλων

115.49.68.113 - - [07/Jan/2009:13:00:10 +0100] "GET /forum/index.php?topic=539.0'%20and%20char(124)%2Buser%2Bchar(124)=0%20and%20''=' HTTP/1.1" 200 77276 "-" "Internet Explorer 6.0"
έτσι για καλη χρονιά :P

Άβαταρ μέλους
rolamd
Newbie
Newbie
Δημοσιεύσεις: 22
Εγγραφή: 15 Νοέμ 2007, 13:05
Distro: Gentoo
Τοποθεσία: Ioannina
Επικοινωνία:

Re: 07/01/2009 sql injection attack στο ilug.gr

Δημοσίευση από rolamd » 18 Ιαν 2009, 17:05

Το οποίο τι σημαίνει ακριβώς;
(για εμάς που δεν ξέρουμε και πολλά)

Επίσης να αναφέρω (επί του θέματος επιθέσεων) ότι έχω δεχθεί αρκετές φορές επιθέσεις στο μηχάνημα που έχω  στο σπίτι !!! (login attempts ως root) Μέχρι και από κίνα!
the quieter you become, the more you are able to hear...

linuxs
Jr. Member
Jr. Member
Δημοσιεύσεις: 61
Εγγραφή: 09 Οκτ 2016, 21:16

Re: 07/01/2009 sql injection attack στο ilug.gr

Δημοσίευση από linuxs » 05 Μαρ 2011, 02:23

Πως ακριβώς μπορούμε να δούμε αν δεχόμαστε κάποια επίθεση(για μας που ξέρουμε ακόμη λιγότερα...); χεχε

Άβαταρ μέλους
tasosos
Member
Member
Δημοσιεύσεις: 120
Εγγραφή: 22 Νοέμ 2005, 19:03
Distro: Debian
Τοποθεσία: Ιωάννινα

Re: 07/01/2009 sql injection attack στο ilug.gr

Δημοσίευση από tasosos » 05 Μαρ 2011, 12:49

Αν δεχόμαστε επίθεση μπορούμε να το δούμε στα logs του συστήματος και συγκεκριμένα σε webserver, ftp, mysql server logs, ανάλογα τι έχουμε στημένο.
Αν μιλάμε για εναν υπολογιστή ισχύει το παραπάνω. Αν μιλάμε για δίκτυο τότε κοιτάμε για logs εκεί που έχουμε εφαρμόσει ασφάλεια.

Το παραπάνω output σημαίνει ότι κάποιος προσπάθησε να περάσει data στον sql server για να αποκτήσει πρόσβαση.
Πιο αναλυτικά.
115.49.68.113 - - [07/Jan/2009:13:00:10 +0100] "GET /forum/index.php?topic=539.0'%20and%20char(124)%2Buser%2Bchar(124)=0%20and%20' '=' HTTP/1.1" 200 77276 "-" "Internet Explorer 6.0"
Οτι είναι μέσα σε bold μεταφράζεται απο τον webserver. (%20 είναι το κενο)

Το υπόλοιπο κομμάτι στοχεύει να εκτελεστεί απο τον sql server.
Η char είναι συνάρτηση της sql.
Syntax : CHAR ( integer_expression )
Description : Return the character for each integer passed

To char(124)%2Buser%2Bchar(124)=0 μεταφράζεται σε : |user|=0 and ' '='
Και αυτός είναι ένας τρόπος για sql injection σε vulnerable σελίδες.

Απάντηση

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης