Scarica gratis MessengerSkinner e divertiti con centinaia di emoticon per Messenger! Clicca qui |
Scarica Webmediaplayer e guarda gratis le partite della tua squadra del cuore! |
Pochi giorni fa ho pubblicato un articolo a riguardo della vulnerabilità di Blogitalia nei confronti della tecnica di hacking SQL Injection.
La SQL Injection è una tecnica di hacking usata prevalentemente su portali web e pagine dinamiche scritte in ASP, che interagiscono con il database usando il linguaggio SQL (Structured Query Language). L’insieme di dichiarazioni SQL inviate al database per ottenere una risposta si indica con il termine query (interrogazione). Le query possono modificare la struttura del database, ad esempio eliminando una tabella, oppure manipolandone il contenuto.
Per eseguire una SQL Injection su un sito, basta inserire delle particolari stringhe all’interno dei campi “username� e “password�.
Queste stringhe oltre a contenere valori riconosciuti nel linguaggio, contengono una serie di apici, che vengono interpretati dal linguaggio ASP come carattere di chiusura della stringa.
In questo modo la query riconsegna il recordset di tutti gli utenti presenti nel database, e ci lascia entrare nella parte nel sito come se fossimo utenti registrati.
Ma come possiamo fare per implementare la sicurezza del nostro portale, per renderlo protetto agli attacchi di SQL Injection?
Esistono diverse tecniche per evitare le SQL Injection , ma tuttavia, non essendo un programmatore ASP vi spiegherò il metodo più semplice ma non meno sicuro degli altri.
Per rendere sicuro il nostro sito ci basterà sostituire nel comando di login, nella parte della querystring che legge i valori, il simbolo dell’apice con delle doppie virgolette, è l’operazione sarà terminata!
Ho capito che devi guadagnare con il tuo blog del cavolo, ma almeno fallo bene togliendo quel fastidiosissimo banner di adsense in overlay.