AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Hacker SQL Injection?

Ein Thema von youuu · begonnen am 1. Jun 2012 · letzter Beitrag vom 1. Jun 2012
Antwort Antwort
youuu

Registriert seit: 2. Sep 2008
Ort: Kleve
822 Beiträge
 
Delphi 2010 Professional
 
#1

Hacker SQL Injection?

  Alt 1. Jun 2012, 09:43
Hi,

gerade hat jemand wie ich vermute eine SQL Injection auf meinen Server versucht.

Dieser Code wurde im Kotaktformular eingegeben:

\' declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --

Kann jemand dazu genaueres sagen? Und wie man das verhindert?

Kontaktformular solange offline gesetzt.


Edit:

Das habe ich bislang herrausgefunden:

"That means

select WAITFOR DELAY '00:00:15'--

Hacker tried use waiting functions and analyze response times to test if blind SQL injection is possible. "
Steven

Geändert von youuu ( 1. Jun 2012 um 09:45 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#2

AW: Hacker SQL Injection?

  Alt 1. Jun 2012, 10:29
Zitat:
Kann jemand dazu genaueres sagen? Und wie man das verhindert?
Die Tatsache dass du den String so erhalten hast lässt ja schonmal hoffen
Zur Frage: Was soll verhindert werden?
Die Eingabe so einer Zeichenfolge kann man kaum verhindern. Es gibt leider böse Menschen und es gibt auch böse Menschen mit SQL Kentnissen und Internetzugang. Von irgendwelchen Javascript Validierungen würde ich abraten, das bringt nichts.

Was man natürlich verhindern kann ist, dass durch solche Eingaben Schaden angerichtet wird. Dafür ist eine sorgsame Prüfung auf Serverseite Pflicht. Jede Usereingabe muss als Angriffsversuch eingestuft werden und darf keinesfalls einfach so einer Datenbank übergeben werden. Geeignete Gegenmaßnahmen sind z.B. Datenbankabfragen mit Parametern. Um da genaueres sagen zu können, wäre ein Blick auf die relevante Stelle im Code praktisch.
  Mit Zitat antworten Zitat
youuu

Registriert seit: 2. Sep 2008
Ort: Kleve
822 Beiträge
 
Delphi 2010 Professional
 
#3

AW: Hacker SQL Injection?

  Alt 1. Jun 2012, 10:35
Eine Überprüfung des eingegeben Strings auf "SQL Statements" und bei Findung die Anfrage nicht absenden ist auch eine Möglichkeit?
Das ging mir gerade als erstes durch den Kopf.
Steven
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.641 Beiträge
 
#4

AW: Hacker SQL Injection?

  Alt 1. Jun 2012, 10:46
Ich gehe davon aus, dass die Anfrage gar nicht erst in einer Datenbank landet sondern direkt per Mail verschickt wird?

Dann ist das kein Sicherheits-Problem, sondern eher ein nerviges 'Spam-Like' Problem.

Viele dieser Angriffe sind automatisiert. Das heisst da läuft irgendwo ein Tool und probiert die Dinger automatisch durch, ohne User-eingabe. Meistens scannen die Tools die Webseite, erkennen die Formularfelder und führen einen Post darauf durch.

Du könntest das Formular z.B. so absichern, dass Du ein Eingabefeld mit type="hidden" in das Formular packst und dort einen Wert reinschreibst. Ein Javascript auf der Seite nimmt das Eingabefeld und schreibt dort einen anderen Wert rein. Beim Auswerten des Formulars schaust Du, ob der ursprüngliche oder der andere Wert zurück kommt - wenn es nicht der neue war, war das niemand mit einem Browser, und die Eingabe kann verworfen werden.

Somit bekommst Du höchstens noch manuelle Angriffsversuche mit.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
youuu

Registriert seit: 2. Sep 2008
Ort: Kleve
822 Beiträge
 
Delphi 2010 Professional
 
#5

AW: Hacker SQL Injection?

  Alt 1. Jun 2012, 10:49
Hm und bei deaktiviertem Javascript, wäre dann aber auch bei einer echten Anfrage ein Verwerfung (Auch wenn es glaube ich selten deaktiviert ist).
Steven
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.202 Beiträge
 
Delphi 10.4 Sydney
 
#6

AW: Hacker SQL Injection?

  Alt 1. Jun 2012, 10:54
Hi,

gerade hat jemand wie ich vermute eine SQL Injection auf meinen Server versucht.

Dieser Code wurde im Kotaktformular eingegeben:

\' declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --

Kann jemand dazu genaueres sagen? Und wie man das verhindert?
Eingabe wirst du schlecht verhindern können. Aber solange du alle DB-Abfragen/Queries per Prepared Statement laufen lässt braucht dich das nicht stören. Solltest du aber irgendwas ohne prepared Statement laufen lassen ...
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
youuu

Registriert seit: 2. Sep 2008
Ort: Kleve
822 Beiträge
 
Delphi 2010 Professional
 
#7

AW: Hacker SQL Injection?

  Alt 1. Jun 2012, 11:00
Ah ok, das mach ich sowieso immer, da wir noch eine Suchanfrage besitzen.

Dann muss ich mir keine Sorgen machen
Steven
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:09 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz