Discussion :

[Khleo]

Bonjour,

Ce matin nous vennons de nous apercevoir que nous vennions d'être attaqué via une injection SQL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
SELECT LibelleDiscussion, CodeDiscussion, (SELECT MAX(DatePost) FROM forum__post WHERE CodeDiscussion = forum__discussion.CodeDiscussion) AS LastMessage,DescriptionDiscussion
FROM forum__discussion
WHERE CodeSousCategorie = -999.9 UNION ALL SELECT (select concat(0x7e,0x27,Hex(cast(group_concat(column_name) as char)),0x27,0x7e) FROM information_schema.columns Where table_schema=0x70726F6E6F73 AND table_name=0x636F6E74616374)--
ORDER BY LastMessage DESC

Qu'a t'il essayé de voir ? Les mots de passes sont compromis ?

Merci

[CinePhil]

D'après la requête, il a essayé de capter le nom des colonnes d'une table.

L'étape suivante étant peut-être effectivement d'essayer de récupérer des informations dans certaines de ces colonnes.

[Khleo]

C'est possible de créer un utilisateur qui aura accès uniquement à la base de données d'un seul site et pas les bdd des autres site et information_schema ?

[CinePhil]

Bien sur oui !
Regarde du côté de GRANT dans la doc MySQL.

[Khleo]

L'utilisateur créé à accès la base du site mais aussi à 'information_schema', c'est obligatoire ?

Merci