estan intentando hackear mi web?

abigor66 · #1 (**permalink**) 18/11/2009, 09:07

Buenos días gente del foro, en mi base de datos, tengo dos tabla que me registra las url visitadas por los usuarios de la página un para personas y otra para los robots. la lista de ip de los robots que me visitan la voy alimentando a medida que van llegando a mi web y así separo las visitas.

entonces, ya habiendo explicado esto, hoy he revisado la tabla de las visitas de las personas y me he encontrado que la ip 82.194.82.172 (la publico por si alguien la reconoce) visitó mi Web pero utilizando enlaces que en teoría no llegan a ningún lado.

url normal: miweb.com/mapa.php?lang=xx&search=xxx+xxx

url del visitante en cuestión: www. miweb .com/mapa .php?lang=-99999+AND+4=2+UNION+ALL+SELECT+0x30653763326137383 53864303833656636636535323337343330636466343033,.. ......

debo resaltar que la primera visita de este usuario fue a la siguiente url:
www.miweb.com/mapa.php?lang=RemoteCommandxeQters

por último, el usuario realizo 122 visitas a esa url en 2 minutos

Aunque para mí es obvio que si están intentando entrar, me gustaría saber como esa url puede conectarse a mi base de datos y que tipo de información puede sacar o modificar.

Muchas Gracias.

Caco_Patane · #2 (**permalink**) 18/11/2009, 13:24

Es un intento de SQL Inyection, lo puede estar haciendo un usuario en particular o un bot. Si estas sanitizando bien las variables antes de ponerlas en las querys no tenes de que preocuparte. Podes encontrar informacion sobre SQL Inyection y como prevenirlas en la pagina de OWASP (Open Web Application Security Proyect).

abigor66 · #3 (**permalink**) 18/11/2009, 14:05

Gracias Caco_Patane leeré sobre el tema, una pregunta más, ¿que es sanitizando?

Caco_Patane · #4 (**permalink**) 18/11/2009, 14:50

Cita:

Iniciado por abigor66

Gracias Caco_Patane leeré sobre el tema, una pregunta más, ¿que es sanitizando?

Es escapar correctamente las variables que ingresas a las querys, comprobar que no contengan caracteres no deseados (comillas simples/dobles, punto y coma, y muchas cosas mas... fijate en OWASP que tienen un script para esto o utiliza mysql_real_scape() de PHP).

abigor66 · #5 (**permalink**) 18/11/2009, 15:07

Gracias nuevamente, ya leí sobre el tema y me parece muy grave que me lo estuviera saltando. sin embargo, ¿esta vulnerabilidad es para versiones antiguas de mysql? tengo la versión 5, y lo digo porque cuando realizo una prueba de manera local para ver esta vulnerabilidad noto que las variables que ingreso a través de la url parece que primero pasan por la función addslashes lo que me convierte las comillas simples a \' y evita que se ejecute el código malicioso y esta función no la la uso en mi código.

darkasecas · #6 (**permalink**) 18/11/2009, 15:43

Creo que eso tiene que ver con la configuracion de php, no con la version de mysql, supongo que en el php.ini local tienes magic quotes activado

abigor66 · #7 (**permalink**) 19/11/2009, 11:08

OK, darkasecas entonces debe ser eso. Muchas Gracias.