Взломали базу злодеи! / ASP.NET

ReSQL.ru

2.0.61

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Взломали базу злодеи! / 13 сообщений из 13, страница 1 из 1

07.12.2011, 21:37:53

#37564004

Diamoon

Гость

Взломали базу злодеи!

Здравствуйте!
Вопрос наверно ламерский, но все же может кто подскажет.
Взломали базу MSSQL сайта. Во всей базе в таблицах с полями типа varchar или text вставлен вредоносный код. Сайт сделан на ASP.NET, на страницах нигде не указано ValidateRequest="false". Проверка вводимой пользователями информации есть, проверка запроса тоже.
Но вот сломали все таки. Как это теоретически могло быть реализовано и в какую сторону нужно рыть?
Спасибо.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 21:46:10

#37564015

МСУ

Участник

Откуда: http://codearticles.ru
Сообщения: 33 530
Рейтинг: 0 / 0

Взломали базу злодеи!

Вам погадать на кофе?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 21:50:09

#37564018

Diamoon

Гость

Взломали базу злодеи!

Можно и на кофе, лишь бы двинуться в какую нибудь сторону

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 21:54:59

#37564020

МСУ

Участник

Откуда: http://codearticles.ru
Сообщения: 33 530
Рейтинг: 0 / 0

Взломали базу злодеи!

Без тщательного анализа кода сайта для выявления дыр Вам помогут, разве что, инопланетяне.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 21:58:33

#37564026

Diamoon

Гость

Взломали базу злодеи!

Ладно, спасибо, пойду запишусь в программу SETI

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 22:47:41

#37564080

Andrey1306

Участник

Откуда: Киев
Сообщения: 2 698
Рейтинг: 0 / 0

Взломали базу злодеи!

Diamoon,

Вопрос может не корректный, а на сайт можно глянуть ?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 23:07:17

#37564104

Diamoon

Гость

Взломали базу злодеи!

Andrey1306Diamoon,

Вопрос может не корректный, а на сайт можно глянуть ?
Да конечно, myanapa.ru

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 23:23:18

#37564120

Andrey1306

Участник

Откуда: Киев
Сообщения: 2 698
Рейтинг: 0 / 0

Взломали базу злодеи!

Насколько я понимаю это БОООЛбшой минус

Код: c#

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.

Server Error in '/' Application.
Incorrect syntax near the keyword 'AND'.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.Data.SqlClient.SqlException: Incorrect syntax near the keyword 'AND'.

Source Error:

The source code that generated this unhandled exception can only be shown when compiled in debug mode. To enable this, please follow one of the below steps, then request the URL:

1. Add a "Debug=true" directive at the top of the file that generated the error. Example:

  <%@ Page Language="C#" Debug="true" %>

or:

2) Add the following section to the configuration file of your application:

<configuration>
   <system.web>
       <compilation debug="true"/>
   </system.web>
</configuration>

Note that this second technique will cause all files within a given application to be compiled in debug mode. The first technique will cause only that particular file to be compiled in debug mode.

Important: Running applications in debug mode does incur a memory/performance overhead. You should make sure that an application has debugging disabled before deploying into production scenario.

Stack Trace:

[SqlException (0x80131904): Incorrect syntax near the keyword 'AND'.]
   System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection) +2073502
   System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection) +5064460
   System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning() +234
   System.Data.SqlClient.TdsParser.Run(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj) +2275
   System.Data.SqlClient.SqlDataReader.ConsumeMetaData() +33
   System.Data.SqlClient.SqlDataReader.get_MetaData() +86
   System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString) +311
   System.Data.SqlClient.SqlCommand.RunExecuteReaderTds(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async) +987
   System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, DbAsyncResult result) +162
   System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method) +32
   System.Data.SqlClient.SqlCommand.ExecuteReader(CommandBehavior behavior, String method) +141
   System.Data.SqlClient.SqlCommand.ExecuteReader() +89
   Hotels.SearchList(String accID, String locationID, String date, String pitanieID, String parking, String doPlazha, String cost1, String cost2, String hotelName, String street, Boolean IsAdmin) +2879

[TargetInvocationException: Exception has been thrown by the target of an invocation.]
   System.RuntimeMethodHandle._InvokeMethodFast(IRuntimeMethodInfo method, Object target, Object[] arguments, SignatureStruct& sig, MethodAttributes methodAttributes, RuntimeType typeOwner) +0
   System.RuntimeMethodHandle.InvokeMethodFast(IRuntimeMethodInfo method, Object target, Object[] arguments, Signature sig, MethodAttributes methodAttributes, RuntimeType typeOwner) +72
   System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture, Boolean skipVisibilityChecks) +251
   System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture) +28
   System.Web.UI.WebControls.ObjectDataSourceView.InvokeMethod(ObjectDataSourceMethod method, Boolean disposeInstance, Object& instance) +638
   System.Web.UI.WebControls.ObjectDataSourceView.ExecuteSelect(DataSourceSelectArguments arguments) +1953
   System.Web.UI.DataSourceView.Select(DataSourceSelectArguments arguments, DataSourceViewSelectCallback callback) +21
   System.Web.UI.WebControls.DataBoundControl.PerformSelect() +143
   System.Web.UI.WebControls.ListView.PerformSelect() +113
   System.Web.UI.WebControls.BaseDataBoundControl.DataBind() +74
   System.Web.UI.WebControls.BaseDataBoundControl.EnsureDataBound() +66
   System.Web.UI.WebControls.ListView.CreateChildControls() +55
   System.Web.UI.Control.EnsureChildControls() +102
   System.Web.UI.Control.PreRenderRecursiveInternal() +42
   System.Web.UI.Control.PreRenderRecursiveInternal() +175
   System.Web.UI.Control.PreRenderRecursiveInternal() +175
   System.Web.UI.Control.PreRenderRecursiveInternal() +175
   System.Web.UI.Control.PreRenderRecursiveInternal() +175
   System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +2496

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.12.2011, 23:31:44

#37564131

Diamoon

Гость

Взломали базу злодеи!

Andrey1306, полностью согласен, руки бы мне оторвать. Это был мой первый проект на asp.net, сайт давнишний. В связи с проблемами все это приберу потом будем посмотреть. Спасибо, тему закрываю.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

08.12.2011, 11:55:39

#37564753

Winnipuh

Участник

Откуда: Київ
Сообщения: 10 496
Рейтинг: 0 / 0

Взломали базу злодеи!

DiamoonЗдравствуйте!
Вопрос наверно ламерский, но все же может кто подскажет.
Взломали базу MSSQL сайта. Во всей базе в таблицах с полями типа varchar или text вставлен вредоносный код. Сайт сделан на ASP.NET, на страницах нигде не указано ValidateRequest="false". Проверка вводимой пользователями информации есть, проверка запроса тоже.
Но вот сломали все таки. Как это теоретически могло быть реализовано и в какую сторону нужно рыть?
Спасибо.

а можно объяснить как это?

" в таблицах с полями типа varchar или text вставлен вредоносный код"

Какой вред может нести текст в поле? матерные слова?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

08.12.2011, 12:09:02

#37564808

МСУ

Участник

Откуда: http://codearticles.ru
Сообщения: 33 530
Рейтинг: 0 / 0

Взломали базу злодеи!

Это называется "sql injection" - верный друг начинающих пионеров программистов.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

08.12.2011, 12:17:36

#37564837

Winnipuh

Участник

Откуда: Київ
Сообщения: 10 496
Рейтинг: 0 / 0

Взломали базу злодеи!

МСУЭто называется "sql injection" - верный друг начинающих пионеров программистов.

ткскыть, зарница

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

08.12.2011, 13:24:25

#37565082

Starlex

Участник

Откуда: С.-Петербург
Сообщения: 1 043
Рейтинг: 0 / 0

Взломали базу злодеи!

WinnipuhКакой вред может нести текст в поле? матерные слова?

Текст в виде javascript кода, который грузится в GridView, например.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Взломали базу злодеи! / 13 сообщений из 13, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=18&mobile=1&tid=1360212]:	0ms
get settings:	10ms
get forum list:	17ms
check forum access:	4ms
check topic access:	4ms
track hit:	199ms
get topic data:	10ms
get forum data:	2ms
get page messages:	48ms
get tp. blocked users:	1ms
others:	217ms

total:	512ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы