Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

DiegoRiba

Insert em todas as tabelas

Recommended Posts

Bom dia pessoal.

Estou com um problema de invasão em um site.

Gostaria de saber se é possível dar um insert em todas as tabelas do banco de dados sem saber o nome de todas?

Ou pelo menos a maioria delas e assim por diante...

Valeu a ajuda.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia pessoal.

Estou com um problema de invasão em um site.

Gostaria de saber se é possível dar um insert em todas as tabelas do banco de dados sem saber o nome de todas?

Ou pelo menos a maioria delas e assim por diante...

Valeu a ajuda.

SQL Injection

Basta montar o comando update em sys.objects... mole mole...

 

Já arrumaram a entrada do injection?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tendo acesso as tabelas de metadados , é possível montar inserts aleatórios sim.

Ola Motta, não acredito que ele tenha acesso as minhas tabelas...

SQL Injection

Basta montar o comando update em sys.objects... mole mole...

 

Já arrumaram a entrada do injection?

A Jr, estamos arrumando estas partes vulneráveis.

Mas mesmo sem saber o nome das minhas tabelas, ele pode fazer insert nelas?

Ele não tem como fazer um select no site para descobrir o nome delas, no máximo inserir ou atualizar por sql Injection que já estamos arrumando.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Existem rotinas de injection que fazem a leituras das tabelas de sistema e executam um insert nas colunas de tipo texto. Mesmo sem saber o nome delas, esta rotina "varre" toda a base em que o usuario da conexao tenha acesso.

E pensa assim, se a pessoa fez um insert em uma tabela, para desobrir quais tabelas tem em seu sistema eh mais facil ainda!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Entendi A Jr.

Muito obrigado pela ajuda.

Vou estudar um pouco mais sobre SQL Injection.

Já fiz alguns bloqueios no site e acredito que agora não esteja mais tão vulnerável como antes.

Compartilhar este post


Link para o post
Compartilhar em outros sites

uma das medidas que vc pode tomar, eh com relacao ao usuario de conexao com o DB.

Outra medida seria tirar os comandos de acesso, das paginas, como select, insert e update e troca-las por procedures.

[]´s

Compartilhar este post


Link para o post
Compartilhar em outros sites

kkkkkkkkkkkkkkk BoaMotta


Sim A.Jr é verdade, uma boa opção.

Vou ver a possibilidade. Mas acredito que agora conseguimos bloquear as entradas para sql injection.

Muito obrigado a vcs pela ajuda.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.