[HWSW]

Masszív SQL-injekciós szõnyegbombázás sújtotta a webet az elmúlt napokban, jelentették biztonsági cégek. Egyes becslések szerint több százezer oldalt törhettek meg a támadók, köztük olyanokat is, mint a Wall Street Journal.
http://www.hwsw.hu/hirek/44727/xss-sql-injekcio-iis-asp-trojai.html

[Poetro]

Errõl a nagyszerû xkcd képsor jut eszembe:

Idézet

- A gyerekét tényleg `Robert"; DROP TABLE FROM Students`-nek hívják?

- Ó igen, kicsi Bobby Tables-nek becéztük.

Szerkesztette: Poetro 2010. 06. 10. 14:25 -kor

[Ytse]

[Jahno]

"Cisco szerint a Google alapján 7 ezer, míg a Sucuri szerint 114 ezer weboldalról lehet szó."

Ennyit a felmérés/stat/hír/egyébről. Nem is nagyságrendileg van eltérés, áááá, dehogy.

[törölt felhasználó]

Érdekes, hogy az IIS web alkalmazások (ASP.NET) ennyire sebezhetõek. Nem kevés eszköz van benne, ami nagyon megkönnyíti az adatelérést (s persze az SQL injectiont kiküszöböli). Ebbõl én azt gondoltam, hogy dilettáns webfejlesztõk nem állnak már neki inline SQL parancsos DAL-t írni (hiszen ez jóval munkásabb), de úgy látszik mégis... :

[debaj]

Idézet: x007 - Dátum: 2010. 06. 10. 16:58

Nem kevés eszköz van benne, ami nagyon megkönnyíti az adatelérést (s persze az SQL injectiont kiküszöböli).

Csak az a baj, hogy hiába az eszköz, ha nem élnek vele, inkább barkácsolnak valamit úgyisjólesz alapon.

[FTeR]

a `Robert"; DROP TABLE Students`-, php-ban nem mûködik, mivel egy query hívás csak egy utasítást tud küldeni.

asp.net webformson a script beágyazás kevésbé esélyes, mivel egybõl sikít ha html kód van az inputban.

[törölt felhasználó]

@FTeR:
ezt linkelte a cikk: http://nsmjunkie.blogspot.com/2010/06/anatomy-of-latest-mass-iisasp-infection.html

a script tag kódolva van, amit a db motor kódol vissza

[dikki]

xkcd magyarul -> broáf