Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4   вперед  Ctrl      все
 Re: Sql Injection  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
bg1,

100% я увижу sp_execute ? в каком виде можете показать ?
ЗЫ - я кабасик успел подзабыть уже,сорри..лет 20 прошло как не брал оного в руки . Да и когда брал никакими асп.нет еще и не пахло
24 фев 15, 16:15    [17306051]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4831
bg1
бо уже откровенно интересно даже :) 
будем BASIC изучать?
sp_execute вы получите в профайлере
что вы хотите там увидеть? то что изучают первокурсники ПТУ по программированию?


Просто я долгое время программировал на .NET, пока не стал специализироваться на BI, а в остальном здесь тусуются SQL ориентированные люди. Поэтому не удивляйтесь.

А команду, которая уходит на сервер поймайте, давайте посмотрим. Также посмотрите, что будет, если дохрена кавычек/апострофов вставить в форму.
24 фев 15, 16:17    [17306067]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
Ну библиотеки бейсика много разных видов вызова SQL-формируют
Команду по идее можно словить, только ж это нагруженный сайт с посещаемостью мллионы реальных визитов в месяц (вне сезона) в сезон десятки миллионов
ну отловить эту команду фильтрам можно по идее

К сообщению приложен файл. Размер - 20Kb
24 фев 15, 16:39    [17306196]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4831
bg1
Ну библиотеки бейсика много разных видов вызова SQL-формируют
Команду по идее можно словить, только ж это нагруженный сайт с посещаемостью мллионы реальных визитов в месяц (вне сезона) в сезон десятки миллионов
ну отловить эту команду фильтрам можно по идее


Интересующую нас команду найдите с AddNewHotel. Поставьте фильтр или найдите поиском
24 фев 15, 16:42    [17306217]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
если у вас вызов хранимок идет так как показано ниже - вас хакнули не из етой формы.
24 фев 15, 16:46    [17306236]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4831
Смотрите IIS. Может у вас где открыта возможность скачать или даже загрузить скрипт, как вот здесь например.

http://cd-dvd-lock.ir/bornaonline/form.aspx
24 фев 15, 17:09    [17306420]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
В данном случае:
exec AddNewHotel @UserName=N'XXXXXXXXXXXXXX',@CountryID=N'0',@NewCountry=N'0',@NewCity=N'0',@NewKurort=N'0',@NewOtel=N'0',@Comment=N''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Ну а в принципе, если вообще говорить о бейсике, вызов может быть и курсорный например (два других итоговых сформированных запроса выше)

К сообщению приложен файл. Размер - 18Kb
24 фев 15, 17:10    [17306424]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
Смотрите IIS. Может у вас где открыта возможность скачать или даже загрузить скрипт, как вот здесь например
нету ничего такого на сервере - я ж уже это несколько раз подчекнул

вы приводите пример СПЕЦИАЛЬНОГО ИЗВРАЩЕНЦА, который не компилирует странички в DLL, а намеренно выкладывает исходники на WEB-Сервер
это особенный какой-то ОЧЕНЬ ублюдок, его маме лучше было аборт сделать, чтобы такие программисты не приходили в этот мир

вся идеология Web-серверов (кроме совершенно ублюдочных бесплатных демо-технологий для школьников типа PHP) основана на том, что на web-сервер выкладываются ТОЛЬКО откпомпилированные библиотеки

уже лет 15 как мир устроен ТОЛЬКО таким образом

более того, перед выкладкой на сервер 99% процентов программистов подвергают свои библиотеки ОБСФУРКАЦИИ - то есть выложенную библиотеку даже не возможно ДЕКОМПИЛИРОВАТЬ

поэтому я и говорю, что такого ублюдка, который выложил непосредственно исходник на WEB-сервер - его маме лучше было не рожать вообще

К сообщению приложен файл. Размер - 30Kb
24 фев 15, 17:18    [17306462]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
bg1,

исчите другую дырку - сия процедура не при чем к вашему апдейту. При таком варианте вызова и текстаопубликованного вами - туда хоть 2гб кавычек передавай , селект их все равно не выполнит.
24 фев 15, 17:24    [17306506]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4831
bg1,

А как вы вообще определили, что произошла именно SQL инъекция. Может компьютер не залочили и кто-то из коллег пошутил? Проапдейтил поле Comment нецензурными выражениями.
24 фев 15, 17:26    [17306523]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
я вам больше скажу - даже на моем девелоперском кампе все настройки сервера, правила доступа VPN, настройки фаерволов ВКЛЮЧАЯ ИСХОДНИКИ ВСЕХ МОИХ ПРОЕКТОВ - хранятся в ШИФРОВАННОЙ файловой системе (видите они зелененькие на скрине)

К сообщению приложен файл. Размер - 32Kb
24 фев 15, 17:29    [17306548]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
a_voronin,

так я сие еще в первом ответе предложил:)
24 фев 15, 17:30    [17306555]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
это исключено. никто на этот хостинг не зайдет без меня
только один человек еще знает вообще как туда зайти - владелец этого бизнеса (ему точно не нужно портить свой бизнес)
это раз

и два - какой смысл апдейтить эту тупую таблицу с сообщениями для программиста?
унизить меня?

то есть, я вижу ситуацию просто как обычную SQL инжекцию
24 фев 15, 17:37    [17306585]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
bg1
это исключено. никто на этот хостинг не зайдет без меня

угу... и в БД нет дба кроме вас и на хостинге админа...очень так сказать самонадеянно
24 фев 15, 17:44    [17306634]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
угу, именно так
скажите это владельцу этго бизнеса - пусть увеличит мою зарплату
24 фев 15, 17:48    [17306662]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
bg1,

може ето он вас так троллит ?
24 фев 15, 17:53    [17306691]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
o-o
Guest
вот-вот.
т.к. ТС очень забавно злится, или т.к. завидуют, или по обеим причинам сразу

у нас в бассейне одному сланцы переворачивают, за то, что сильно уж он упертый,
он для подсчета, сколько проплыл, каждый раз, как у бортика, свои тапки переворачивает,
такой вот у него "контроль четности", и его ему регулярно сбивают.

...он до сих пор не отловил того кто, но злится каждый раз бесподобно, радуются все,
а еще надо добавить: он вообще-то самый сильный в группе, но воображало еще то
---
у вас что за модель у базы?
в лог юзерские транзакции пишутся с указанием логина и время там тоже есть,
а если это все легло в бэкап лога, то найдет, кто.
24 фев 15, 18:13    [17306775]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
ну будем считать это предположение как второй вариант после наиболее разумного - варианта с SQL инжекцией

только подобная фишка уже была как-то раз - не помню когда, я уже 9 лет с ним работаю
то есть задумать этот троллинг ему пришлось бы еще тогда - 7-8 лет назад

я еще пару деталей добавлю - этот хостинг ОООООЧЕНЬ строго защищен
вот здесь над моим пузом в правом ряду второй снизу ZyWALL USG 1000 - cамый мощный из ныне существующих фаерволов
и это НЕ ЕДИНСТВЕННЫЙ фаервол, защищающий этот бизнес

Иначе говоря, SQL-сервер НИКАК внаружу не смотрит бесконтрольно, на сервере никаких исходников нет, они лежат на моем кампе (я живу вообще не в России), и с этой таблой поганой с сообщениями для администрации сайта никто больше не работает, только опубликованный код

если котлета выглядит как котлета, пахнет как котлета, имеет вкус котлеты - то скорее всего это она и есть
и я расцениваю эту ситуацию как сто-процентную SQL-инжекцию

К сообщению приложен файл. Размер - 149Kb
24 фев 15, 18:16    [17306782]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
o-o
Guest
вот тем, которые даже форум путают с доской почета, руки особо чешутся напакостить
ето вы на фоточке, да?
если ответ положительный, то Махх прав и мотивы тоже ясны
24 фев 15, 18:24    [17306818]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
daw
Member

Откуда: Муром -> Москва
Сообщений: 7381
bg1
я расцениваю эту ситуацию как сто-процентную SQL-инжекцию


только, кодом, который находится _внутри_ приведенной вами процедуры, ее устроить невозможно в принципе. вот никак. 146% никак.
так что, вы малость не по адресу. это вам в форум по ASP.NET, или еще куда.
24 фев 15, 18:27    [17306836]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
ето вы на фоточке, да?
да
но у меня достаточно досок почета, давайте я обойдусь без их перечисления

я не за этим пришел сюда
я запостил эту фоту наверное двадцатым по счету своим постом
и только чтобы показать ИСКЛЮЧИТЕЛЬНУЮ серьезность и защищенность своей схемы жизни
чтобы отбросить сразу дурные предположения - что SQL у меня смотрит наружу, что я выкладываю код в Россию на Web-хостинг, что какое-то быдло может бесконтрольно пользоваться моим SQL-сервером и прочие АБСОЛЮТНО БРЕДОВЫЕ предположения

а первые 19-ть постов я просто отвечал на вопросы и пытался добиться от SQL-комьюнити КОНКРЕТНОЙ SQL-КОМАНДЫ
которую сумел внести какой ублюдок ко мне в базу
24 фев 15, 18:43    [17306903]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
o-o
Guest
bg1,
вы ругаться бы прекратили, ваш друг поди хихикает сейчас, за вами наблюдая.
еще раз.
ваша крутая база в полной модели находится?
бэкапы лога ведутся и вы знаете примерное время, когда вам нагадили?
вы можете узнать sid логина, к-ый это сделал,
и если у вас не бардак, а каждый ходит под своим, то и выясните, это логин программы или хозяина или еще кого
Using fn_dblog, fn_dump_dblog, and restoring with STOPBEFOREMARK to an LSN

там пример смотрите, Who Did the DROP
24 фев 15, 18:49    [17306919]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
1)в SIMPLE, гонимся за скоростью добавления обьектов в базу
2)бекапится база раз в сутки, базы большие - основные гигов двести
3)SQL-логины везде свои, у этой базы один логин - с ним никто не ходит, только мой код этого сайта
другие сайты имеют другие логины и прав на эту базу по записи не имеют, и вообще эту поганую процу с сообщениями для администрации сайта никто не вызывает, кроме этой формы, минуя эту процу никто не пишет в эту таблу - прямых инсеров из бейсика я никогда не делаю, даже проверять не буду
4)никаких исходников в России нет вообще, не то что на WEB-хостинге, а в принципе. За одним исключением - есть девочка-верстальщица, у нее ФРАГМЕНТЫ кода есть, но она абсолютно доверенное лицо и ПЛЮС содеянное вообще выходит за рамки ее жизненных интересов
5)SQL не смотрит внаружу, в России вообще только в сторону айпишника владельца и верстальщицы
6)логи IIS бесполезны - ну увижу я там какой-нибудь Шанхай и что? Даже если бы они писали содержимое POST, а не только URL
7)это точно сделал не я, потому что это нарушает мои планы. И у владельца тоже совсем другие планы, чем пакостить в свой же бизнес
8)АБСОЛЮТНО тупая таблица - сообщения администрации сайта !!!!

то есть чистое SQL injecton налицо
24 фев 15, 19:04    [17306952]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
9) такое уже было однажды сколько-то лет назад, но совсем с другой таблой
то есть врядли даже кто-то хотел целенаправленно меня унизить (что, казалось бы, можно предположить из назначения взломанной таблицы) - что только подтверждает версию об SQL Injection
24 фев 15, 19:15    [17306975]     Ответить | Цитировать Сообщить модератору
 Re: Sql Injection  [new]
bg1
Member

Откуда:
Сообщений: 42
и еще одна ПОТРЯСАЮЩАЯ подробность !
проапдейтились НЕ ВСЕ записи в этой табле !!
то есть записи с изначальным содержимым !!!

К сообщению приложен файл. Размер - 105Kb
24 фев 15, 19:19    [17306988]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить