Virus, orm eller SQL injection?

De tilfælde jeg har undersøgt har været i forbindelse med et eller flere scripts der er åben for SQL injection.

Det script du linker til ser blandt andet ud til at prøve på at udnytte sårbarheder i:

Flash
Real Player

F.eks vil det prøve at installere en trojan på systemet (linket er til en automatisk antivirus scanning af filen):
http://www.virustotal.com/analisis/d20c4d6eb65032ab38339ea6a2996b9e

For at undgå angrebet, skal du tjekke alle dine scripts som bruger inputs (querystring, forms, cookies) i forbindelse med database opslag.

Har ellers prøvet at få sat alle inputs til at fjerne tegn som: ' , " og < .

Men tilsyneladende ikke godt nok!

Så dvs. at alle der går ind på siden hvor scriptet ligger, får virus på deres computer?

Der skal jo bare mangle et sted for at de kan komme igennem.

Nu ved jeg jo ikke om dit site er skrevet i PHP/ASP eller noget tredje. Men f.eks i PHP findes der nogle MySQL Escape funktioner som du måske kan gøre brug af:
http://dk.php.net/mysql_real_escape_string

Hvis du f.eks har en ID parameter, så vær sikker på at den kun accepterer tal.

Det er som regel bedre at kode med regler om hvad der MÅ være istedet for hvad der IKKE må være.

Det er asp og MSSQL det er skrevet i.

Der er en stor risiko for at de kan få virus, hvis deres systemet ikke er patchet op, eller hvis "hackerne" gør brug af en sårbarhed der ikke er udgivet patches til.

Ok. Jeg må gennemgå alle inputs nærmere.

Det er godt nok irritetende. Tak for svar!

ASP er ikke min stærkeste side, men mon ikke der findes nogle gode howto's på nettet omkring input validering i forbindelse med en MSSQL database.

Du kan jo eventuelt selv prøve at teste dit site, alle de steder hvor du bruger f.eks querystrings, prøv at skifte inputtet ud med en ',", < eller >, for at se om koden fejler.

En ting man også kan gøre er at bruge flere brugere til SQL databasen.
De steder hvor du kun har brug for at læse data er der ingen grund til at forbinde med en bruger, som har skriveadgang.
Dette begrænser angrebs mulighederne, men gør kodningen lidt mere besværlig, og det er ikke alle udbydere der tilbyder mulighed for flere brugere til den samme database.

Også lige et svar til sidst :)