Foros del Web » Programando para Internet » PHP »

Ataque por XXS

 Estas en el tema de Ataque por XXS en el foro de PHP en Foros del Web. Hola, muy buenas, intento acceder al foto de mySQL para publicar mi problema, pero me lleva a la principal... El caso, he encontrado esta línea ...
  #1 (permalink)  
Antiguo 17/09/2020, 11:43
Avatar de X3mdesign  
Fecha de Ingreso: octubre-2003
Ubicación: Madrid
Mensajes: 649
Antigüedad: 20 años, 6 meses
Puntos: 2
Ataque por XXS
Hola, muy buenas, intento acceder al foto de mySQL para publicar mi problema, pero me lleva a la principal...

El caso, he encontrado esta línea en mi log personal de la web y no se qué haceni qué han conseguido... está claro que por URL me han colado un gol, y eso que tenía esta función para proteger las variables....
Código: 
function SanitizeInputSQL($dirty_input) {
	$value = stripslashes($dirty_input);
	$value = $this->sql->escape_string($value );
	return $value;
}
Y qué hago?? cojo la QUWRY_STRING y la recorro, creando las variables automáticamente pasadas por URL


Código: 
parse_str($_SERVER['QUERY_STRING'],$url);
foreach($url as $var => $value)
{
		$$var='';
		$$var=$site->SanitizeInputSQL($value);
}
Pero parece que estoy haciendo algo mal porque...
Código: 
2020-09-17 08:04:13
SQL: SELECT imagen_promo
   FROM miBD.contenidos_promos
   WHERE id=1 OR (SELECT 4235 FROM(SELECT COUNT(*),CONCAT(0x7171627171,(SELECT MID((IFNULL(CAST(count(*) AS CHAR),0x20)),1,54) FROM miBD2.landingpage_conversion WHERE observaciones regexp 0x5b342d355d5b302d395d7b337d and ( observaciones regexp 0x637676 or observaciones regexp 0x637663)),0x717a706271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
   ORDER BY orden ASC
mysqli_error($this->conexion): Duplicate entry 'qqbqq0qzpbq1' for key 'group_key'
archivo: /imagenes/imagen.php?blogNum=1&num=1%20OR%20%28SELECT%204235%20FROM%28SELECT%20COUNT%28%2A%29%2CCONCAT%280x7171627171%2C%28SELECT%20MID%28%28IFNULL%28CAST%28count%28%2A%29%20AS%20CHAR%29%2C0x20%29%29%2C1%2C54%29%20FROM%20miBD2.landingpage_conversion%20WHERE%20observaciones%20regexp%200x5b342d355d5b302d395d7b337d%20and%20%28%20observaciones%20regexp%200x637676%20or%20observaciones%20regexp%200x637663%29%29%2C0x717a706271%2CFLOOR%28RAND%280%29%2A2%29%29x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x%29a%29&mode=destaca
¿qué han insertado en mi bas de datos?? dice que la entrada 'qqbqq0qzpbq1' está duplicada....

Plis, echadme una mano para averiguar qué han hecho con esa sentencia....
__________________
Nippon-Tour, tu portal sobre Japón
¿Te gusta el manga, haces tus propios dibujos? Visita FanArt de Nippon-Tour
  #2 (permalink)  
Antiguo 17/09/2020, 18:07
 
Fecha de Ingreso: abril-2006
Mensajes: 583
Antigüedad: 18 años
Puntos: 120
Respuesta: Ataque por XXS
por lo visto, lograron colar por ahi algun exploit de mysql, a simple vista no inserta nada, pero el hecho de llamar a una TABLA del mysql "information_schema.character_sets " da a suponer que se aprovecharon o querian aprovechar algun xploit de la version en CUESTION y puede que hayan tenido exito, la recomendacion es , actualiza tu MYSQL, cambia las contraseñas de tu MYSQL FTP y busques si tienes archivos PHP con modificacion que no hayan sido tuyas.

te paso un link donde creo que es lo mismo

https://hackernoon.com/exploit-datab...p-be62b3c86968

pero bueno.como te comente, actualiza todas las contraseñas, de tu server, y de las tuyas propias.

generalmente la mision de muchos Crackers es obtener El listado de USUARIOS de un sitio WEB extraer las HASHES de su password y correos. y luego de obtener esos 2 datos van buscando algun CORREO que tenga Paypal o cuentas Netflix Amazon prime, etc etc, si encuentra relacion entre ellas, se dan a la tarea de extraer el HASH del password en caso de que hayas puesto hASH, de no ser asi solo les facilitaste la tarea, bueno en fin, cuando tienen ya el PASSWORD y EL EMAIL van probando

Ya que muchos usan la misma contraseña para todo ellos lo saben una vez que pilla la gallina de huevos de oro, lo venden en la deepweb. cuentas AMAZON cuentas XBOX, etc etc etc , incluso las de facebook son valoradas, sobre todo para un ataque politico quienes son los que compran esas cuentas.

bueno volviendo al tema, cambia las contraseñas tuyas , del FTP, HOSTING, tu EMAIL por seguridad. y revisa como te mencione si algun archivo PHP o de tipo que interprete el servidor, CGI-BIN para hacer una purga. si detectas que extrajeron los datos sensibles o pillas un archivo PHP, pues lo correcto es que avises a tus usuarios de que fuiste hackeado, aunque muchos se callan, jeejej ya es a conciencia tuya eso
__________________
Mis aportes te ayudaron??, te hicieron ahorrar valiosos tiempo??, si quieres puedes agradecerme con un Gracias o con una donacion
https://paypal.com/pools/c/8lmNLmWnG9
  #3 (permalink)  
Antiguo 18/09/2020, 03:26
Avatar de X3mdesign  
Fecha de Ingreso: octubre-2003
Ubicación: Madrid
Mensajes: 649
Antigüedad: 20 años, 6 meses
Puntos: 2
Respuesta: Ataque por XXS
Muchas gracias tuadmin por la respuesta, haré lo que indicas.

Además en la clase que uso para conectar con la BD, he añadido esto:
Código: 
if(preg_match('/regexp/i', $query) || preg_match('/_schema/i', $query))
{
 	echo 'Hola, gracias por visitarnos';
	exit;
}
Los datos personales los tengo almacenados en campos BLOB con AES_ENCRYPT y la clave está fuera de las www.
__________________
Nippon-Tour, tu portal sobre Japón
¿Te gusta el manga, haces tus propios dibujos? Visita FanArt de Nippon-Tour
Última edición por X3mdesign; 18/09/2020 a las 03:29 Razón: Añadida última línea ;)

Etiquetas: dato
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 19:31.