problema con un hacker

tengo problema con un hacker que me dice esto:

No entiendo lo que querés decir con eso, yo puedo inyectar código SQL en el browser en cualquiera de tus páginas, por ejemplo en esta:

http://www.webdeejemplo.com/oficina-novedades.php?id=14

Y luego que tengo el nombre de la base de datos, saco las tablas y luego hago un dump del contenido de las tablas.

es verdad lo que me dice o me esta chamuyando? como puedo saber si es verdad? alguien conoce algun link que hable de este tema para investigarlo?

saludos!!

pide que te diga el nombre de la tabla donde guardas las novedades, y solo así a saber... ¡que tampoco somos adivinos!

Yo sólo sé que si no hay nombre de usuario y contraseña, el servidor no permite el acceso. Y eso de hacer consultas o "inyectar código" desde el navegador... Suena a cuento chino.
En todo caso, haz un backup completo y luego dile que te demuestre sus habilidades. Eso sí, por si acaso, que tu nombre de usuario y contraseña no sean fáciles, ¡no vaya a ser que el truco esté en entrar a tu base de datos a través de phpmyadmin!. entremezcla siempre números y letras para mayor seguridad.


Porque aunque hay gente que seguro es capaz de eso y mucho más, también es seguro que no van presumiendo de ello y "asustando" a la gente.

Ya nos contarás :)


Saludos.

mysql_real_escape_string() ?

$id = (int) $_GET['id']; //forzar la variable

saludos :D

PD: adjunta tu codigo para ver, me imagino que puedes tener algo como

$query= mysql_query("SELECT * FROM noticias id=$_GET['id']");

xd

la unica forma es que si consigue leer tu archivo de conexion con todos los datos de la base de datos
hay si puede tener acceso.

otra es esto

$query= mysql_query("SELECT * FROM noticias id=$_GET['id']");

donde el get trae una sentencia concatenada
por ej: GET["20 'where te saco lo quiero boloooooo' "]

20 es el id y luego otras consultas, total id en un nmero

Puede que sea verdad, pero depende si te contacto, ¿que te pide el a cambio?

yo hace un tiempo desarrolle una funcion para eliminar este tipo de ataques, usala, quizas te resulte de utilidad.


y despues llamas a la funcion de esta forma:

Basicamente lo que esto hace es hacer que por la URL solo se reciban numeros, y letras (guiones bajos y guiones medios) sin que se permitan ningun otro caracter en especial.


si pones:
ahi pones las mismas condiciones para los formularios, ten en cuenta en este ultimo caso que el usuario no podra poner ni comas ni puntos...

en fin, espero que te resulte de utilidad.

muchas gracias por los comentarios

el flako no me pide nada a cambio eso es lo que me preocupa, al contrario me da pistas para que lo solucione y yo no se si me esta tomando el pelo o no.. el ya pudo entrar y me escribio un "ardamax estubo aqui"

supuestamente el saca la tabla usuarios con un error y despees "desencripta" el pasword que esta en MD5.. me dijo que lo hace con una de esas base de datos de md5.. pero una de esas la clave era "alfabetagama55" les parece a usetdes que una base de datos puede tener esa palabra?? :S

el loguin lo tengo con una funcion anti sql inyection. utilizo la funcion mysql_real_escape_string()

ademas se que del loguin al administrador no inyecto nada porque lo guardo en una tabla cada ingreso aproposito.

peude que mi compu tenga un keylloger no? igual ya la formatie y ahora le voy a pedir al flako que si me diga una ves mas la clave o al menos que me la de en MD5 porque la clabe que ahi ahora es todo numeros y letras..

ya cambie todas la claves, las del ftp, las de phpmyadmin y las de administrador.. me preocupa que me la digaa y estoy en problemas jaja.. les cuento haber que me responde.

el codigo es el siguiente:
es muy inseguro esto?

saludosss

Me suena, a cuento chino, pero de todos modos ya como dijo uno ahi, haz una copia de seguridad de tu BD.

tan inseguro que hasta la pregunta ofende...

jaja y bueno me podrias decir que es lo que me hacen con esto? para que a esta persona le devuelva una tablaa de los usuarios?

yo lo corrigo y le pongo (int) pero me gustaria conocer como se mete para conocer bien el agujero ese y poder detectar otros ajugeros si es que los tengo

saludos y gracias.

aquí te dejaron un pequeño ejemplo, sin embargo puedes investigar todo lo que quieras acerca de SQL Injection

Claro que se pueden hacer sql injection, y de hecho es peligroso no utilizar la función mysql_real_escape, que para eso se inventó.

realmente si lees el post te hemos dado la respuesta mas de 4 veces, ahora una cosa efectivamente esa contraseña se encuentra en muchas bases de datos, lo mejor usa eje md5(md5($pass)); obviamente si lo haces como pones tu en el ejemplo el tipo facil ya te puede tener un shell en servidor y aunque parches seguira utilizando la shell OJO CON ESO!

y si vas a mandar una id (un entero) haz esto:

$id = (int) $_GET['id']; //muy seguro :D

Los hackers solían aprovechar la vulnerabilidad de no escapar las comillas de modo que al utilizar comillas en alguno de los campos de la consulta se alteraba la sintaxis de la misma y de ese modo manipular a tu antojo la consulta a la BD.

Por ejemplo

entre comillas va el STRING de la consulta "", si se coloca una comilla simple en una variable que va entre comillas simples, el compilador interpreta la primera comilla simple como final de la variable y el código restante como parte de la consulta.

Con solo introducir esto ' OR '. se puede corromper el código. La primera comilla simple de la porción de texto hace string con la primera del código y la última con la última del código. Lo del medio sería interpretado como código de consulta.


WHERE id=' ' OR '. '
NATIVO | HACK | NATIVO