Bonjour à tous,
Un de mes sites vient d'être victime d'une tentative d'intrusion que j'aimerais comprendre.
Pour passer des données d'une page vers d'autres, j'ai utilisé des adresses contenant des GET créées manuellement du genre <a href="mapage.php?nom="toto">. Bien entendu, j'ai pris quelques précautions en réception en contrôlant strictement la variable nom qui est reçue.
Il y a quelques jours, un utilisateur provenant de torservers.net a remplacé "toto" par
999999.9 union all select 0x31303235343830303536, 0x31303235343830303536,0x31303235343830303536"
le pattern 0x31303235343830303536 étant répété 1, 2, 3.... fois.
Ensuite, on a essayé successivement des variables du genre
toto union all select null,null,null,nul
null étant répété 1, 2, 3.... fois
toto and if(1=1,BENCHMARK(27404000,MD5(0x41)),0) and 'x'='x
toto if (1=1) waitfor delay '00:00:16
toto or 1=convert(int,chr(114)||chr(51)||chr(100)||chr(109)||chr(48)||chr(118)||chr(51)||chr(95)||chr(104)||chr(118)||chr(106)||chr(95)||chr(105)||chr(110)||chr(106)||chr(101)||chr(99)||chr(116)||chr(105)||chr(111)||chr(110))
et d'autres patterns du même genre.
Je comprends bien que l'on puisse tenter d'ajouter du code ou des include par un get mais je n'arrive pas à traduire ce que ce méchant a tenté de faire à ce site, sans succès selon les analyses que j'ai faites. Cependant,s'agissant d'un site de ecommerce avec paiement par carte bancaire, j'aimerais comprendre pour d'évidentes raisons de sécurité. Alors, si quelqu'un pouvait m'aider à traduire ces patterns, ce serait bien
Partager