管理者がログイン後にいくつかの不動産レコードを挿入/更新できる ColdFusion ページがあります。「説明」と呼ばれる 1 つのテーブルのメモ フィールドに、情報をハッキング/ジャンクするタグが時々あることに気付きました。キャプチャを導入しました。このページはパスワードで保護されており、どのページからもリンクされていません。誰かが誤って URL を教えない限り、検索エンジンからアクセスすることはできません。現在、挿入/更新を行っている人物の IP アドレスも追跡しています。それでも、説明フィールドのすべてのデータの有効なテキストの末尾に [ジャンク テキスト] -appended' があり、内部 IP アドレスは 192.168.0.101 であることがわかりました。このIPは誰かのパソコンです。私たちの理論の 1 つは、その人のコンピューターが侵害されたというものです。しかし、どのようなウイルスがそれを行うのでしょうか? また、私がやりたいのは、デフォルトで「いいえ」である「承認済み」というフィールドを用意することですが、挿入/更新が発生するたびに「いいえ」になり、変更に関する管理者への電子メールを「トリガー」します。SSMS 内のその構文は何でしょうか? ありがとう!
1 に答える
1
最も可能性の高い原因は、SQL インジェクションです。内部の PC が、多数の攻撃のうちの 1 つを使用してサイトを攻撃しているマルウェアまたはウイルスによって侵害されている可能性があります。それらの最も一般的なものは、あなたが説明していることを正確に行います... DBのテキストまたは文字フィールドの最後にコンテンツを追加します。ここでは、まさにそれを行う 1 つの一般的な攻撃について説明します。
また、次のことを確認します
- ルートURLだけでなく、ハンドラースクリプトも「ロックダウン」されていることを確認してください。含めたスクリプトに URL 経由でアクセスでき、ハッキングの試みに使用されることがあります。
- パスワードで保護されていないサイト内の古いコードを探します。レガシーコードベースの可能性がある場合、クリーンアップが必要な古いコードがいくつかある可能性があります:)
- EXEC(で始まる値を持つ URL パラメーターの Web ログを調べます 。これは、インジェクションの一般的なアプローチです。
- 問題の PC を厳密にスキャンします。charles または wireshark をインストールし、HTTP トラフィックを監視して、何が起こっているかを確認します。
最後に、SQLi に対する脆弱性についてすべてのタラをチェックします。すべての変数で cfqueryparam が使用されていること、および他のコントロールが配置されていることを確認してください。必要な保護レベルはパスワードだけではありません:)
于 2012-05-10T15:28:51.703 に答える