Någon försöker hacka min db

PHPportalen Forum Index » Databaser
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
snylften



Medlem i: 3932 dagar

Status: Offline



#740846
Inlägg Skrivet: 2016-06-08 08:03      Ämne: Någon försöker hacka min db Citera

Jag har en sökmotor. När någon gör en sökning registerar jag sökordet i en annan tabell. Nu kan jag se att det ligger flera SQL querys som sökord, alltså folk har försökt att göra någon typ qv SQL injektion verkar det som. Men jag har svårt att förstå vad frågorna gör. De kan se ut så här.

KOD:
1:
select from select name const char här kommer en massa siffror och sedan name


KOD:
1:
sunion select char här kommer en massa siffror och sedan order by as



KOD:
1:
union select unhex hex version x x


Någon som vet vad man försöker göra?
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4139 dagar
Från: Tavesta
Status: Offline



#740847
Inlägg Skrivet: 2016-06-08 13:37      Ämne: Citera

Vad jag kan se så är det någon som försöker förmå din databas att spotta ut annan information än vad dina databasfrågor är avsedda att leverera.
Om det är många sådana sökningar så kan det handla om att någon testar om din kod är öppen för någon av många kända säkerhetsluckor. Blir det då napp på någon av dessa så vet angriparen hur man angriper just din webbsida.

Det som förvånar mig lite är att vissa detaljer verkar vara bortfiltrerade, vilket inte borde vara fallet här.
Det borde förekomma apostrofer i en eller annan form, tycker jag, ifall koden matats in i ett sökfält. Därför är det två misstankar som slår mig:

Antingen kan det vara så att din kod filtrerar bort sådant, vilket kanske inte är så lämpligt i just det här fallet. Här hade det varit användbart att se exakt vad som blev inmatat.

Eller så kan det också handla om legitima sökningar som rör sql.
Men det beror ju på vad sökfältet är avsett att söka för något.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
snylften



Medlem i: 3932 dagar

Status: Offline



#740848
Inlägg Skrivet: 2016-06-08 15:21      Ämne: Citera

Jag filtrerar bort alla specialtecken med reguljära uttryck innan det sparas i DBn. Det kan vara därför inga apostrofer finns med. Jag ska se om jag kan spara sökorden innan jag tvättar strängen för sökning i DBn.
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » Databaser
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic