SQL सर्वर डेटा में इंट्रानेट आईपी एड्रेस के साथ मेमो फील्ड में स्क्रिप्ट टैग होते हैं - sql-server, coldfusion

हमारे पास एक कोल्डफ्यूजन पेज है जहां व्यवस्थापक कर सकते हैंलॉग इन करने के बाद कुछ अचल संपत्ति रिकॉर्ड डालें/अपडेट करें। हम देख रहे हैं कि एक टेबल के मेमो फ़ील्ड में "विवरण" कहा जाता है, कभी-कभी टैग होते हैं जो कभी-कभी हैकिंग/जंक जानकारी करते हैं। मैंने कैप्चा पेश किया है। पेज पासवर्ड से सुरक्षित है और नहीं किसी भी पेज से लिंक किया गया - सर्च इंजन द्वारा तब तक एक्सेस नहीं किया जा सकता जब तक कि किसी ने गलती से यूआरएल नहीं दे दिया। अब हम उस व्यक्ति के आईपी एड्रेस को भी ट्रैक कर रहे हैं जो इंसर्ट/अपडेट कर रहा है। लेकिन फिर भी हमने विवरण में सभी डेटा को देखा। फ़ील्ड में वैध टेक्स्ट के अंत में [जंक टेक्स्ट] -संलग्न" था, जिसका आंतरिक आईपी पता 192.168.0.101 था। यह आईपी किसी का पर्सनल कंप्यूटर है। हमारा एक सिद्धांत यह है कि व्यक्ति के कंप्यूटर से छेड़छाड़ की जाती है। लेकिन ऐसा कौन सा वायरस करेगा? साथ ही, मैं जो करना चाहता हूं वह है "अनुमोदित" नामक फ़ील्ड होना जो डिफ़ॉल्ट रूप से "नहीं" है लेकिन कभी भी कोई सम्मिलित/अपडेट होता है तो यह परिवर्तन के बारे में व्यवस्थापक को ईमेल "नहीं" और "ट्रिगर" पर जाता है। SSMS के अंदर इसका सिंटैक्स क्या हो सकता है? धन्यवाद!

उत्तर:

सबसे संभावित कारण SQL इंजेक्शन है।यह हो सकता है कि आपके आंतरिक पीसी में मैलवेयर या एक वायरस है जो कई दर्जन हमलों में से एक का उपयोग करके आपकी साइट पर हमला कर रहा है। उनमें से सबसे आम वही करते हैं जो आप वर्णन कर रहे हैं ... डीबी में टेक्स्ट या कैरेक्टर फ़ील्ड के अंत में सामग्री संलग्न करें। यहाँ एक है विवरण एक आम हमले के बारे में जो बस यही करता है।

मैं निम्नलिखित की भी जांच करूंगा

• सुनिश्चित करें कि हैंडलर स्क्रिप्ट "लॉक डाउन" भी हैं - न केवल रूट यूआरएल। कभी-कभी आपके द्वारा शामिल की गई स्क्रिप्ट url के माध्यम से पहुंच योग्य होती है और हैकिंग प्रयासों में उपयोग की जाती है।
• अपनी साइट में कहीं और पुराने कोड की तलाश करें जो पासवर्ड से सुरक्षित न हो। यदि आपके पास विरासत कोड आधार संभावनाएं हैं तो इसके बारे में कुछ पुराना कोड झूठ बोल रहा है जिसे साफ करने की जरूरत है :)
• URL पैरामीटर के लिए वेब लॉग में उन मानों के साथ देखें जो शुरू होते हैं निष्पादन ( - यह इंजेक्शन के लिए एक सामान्य दृष्टिकोण है।
• प्रश्न में पीसी को सख्ती से स्कैन करें। क्या हो रहा है यह देखने के लिए चार्ल्स या वायरशर्क स्थापित करें और HTTP ट्रैफ़िक देखें।

अंत में, SQLi की भेद्यता के लिए अपने सभी कोड की जाँच करें। सुनिश्चित करें कि आपके सभी चर cfqueryparam का उपयोग करते हैं और आपके पास अन्य नियंत्रण हैं। पासवर्ड ही सुरक्षा का एकमात्र स्तर नहीं है जिसकी आपको आवश्यकता है :)