Un ejemplo de intento frustado de SQL Inyection
Publicado el Viernes 12 de Enero del 2007 @ 22:27 por Armonth.
A veces uno puede ver cosas como esta en el Akismet:
Nick','nick@none.org’,'','210.35.2.x','2007-01-12 19:33:48','2007-01-12 19:33:48','','0','Internet Explorer','comment','0','0'),('0', ''. '', '', '', '2007-01-13 19:33:48', '2007-01-13 19:33:48', '', 'spam', '', 'comment', '0','0') /* | http://None | IP: 190.40.239.xContenido: SPAM
Y es que intentar introducir contenido en la base de datos vía SQL Inyection no deja de ser algo de cada día, miles y miles de bots navegando por toda la red intentando meterse hasta en la cocina.
En el ejemplo, lo único que intenta es escapar los caracteres e introducir su propia sentencia SQL (cabe destacar que guarda el comentario con una IP totalmente distinta a la real e identificada), si bien seguramente WordPress cambie automáticamente las comillas, estás varían entre la simple (’), las dobles (”) y los acentos abiertos y cerrados ` y ‘.
Aunque es un consejo por muchos sabidos, no olvidéis de actualizar vuestros CMS a las últimas versiones, en especial WordPress que lleva un trimestre bastante movido. Y backups a menudo ;).
Un comentario (feed)
-
corsaria nos comenta:
El objetivo era colar spam en forma de comentario ¿no?.
Mmm quizás previamente miren que versión de WP tenga instalada la víctima para luego proceder. En ese caso, me parece que es aconsejable ocultar esa información para no dar facilidades. :-)
