Ataque Hacker Remote Injection

Rique · 13 de setembro de 2011

Olá pessoal.

O site de um novo cliente meu foi atacado hoje com Remote Injection depois que troquei o servidor de hospedagem ontem. Por favor, preciso de uma solução rápida. Como faço para me proteger desse ataque?

Desde já agradeço.

methark · 14 de setembro de 2011

A pergunta está muito generalizada, mas vamos "chutar" que você está utilizando ASP.NET (C#) e SGBD MySQL...

1. Crie um método no lado do servidor que evite injeção SQL no banco, ou seja, filtre as strings enviadas pelo formulário. Ex: Faça um regex de caracteres como ' ou --. Ex:

[LEFT][COLOR=#000000]return inputSQL.Replace("'", "''");[/COLOR][/LEFT]

2. Código de exemplo com regex:

[LEFT][COLOR=#000000]using System; using System.Text.RegularExpressions; public void CriarConta(string nome, string senha) { // Checa se o nome contém apenas letras em lower e uppercase, // apóstrofes, ponto, ou espaços em branco. Também checa se tem // de 1 a 40 caracteres if ( !Regex.IsMatch(userIDTxt.Text, @"^[a-zA-Z'./s]{1,40}$")) throw new FormatException("Formato de nome inválido"); // Checa se a senha contém pelo menos um dígit e uma letra // em lowercase, uma em uppercase, e se possui de 8 a 10 // caracteres if ( !Regex.IsMatch(passwordTxt.Text, @"^(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{8,10}$" )) throw new FormatException("Formato de Senha inválido");
}
[/COLOR][/LEFT]

3. Para uma maior segurança, utilize storage procedures no SGBD.

Grande abraço e boa sorte,

Rique · 18 de setembro de 2011

Obrigado methark.

O site que foi invadido não fui eu que fiz, eu apenas mudei o servidor de hospedagem e ele foi invadido. O site que o outro desenvolvedor fez tava muito mal feito e tinha muita falha de segurança. Aí eu acertei com o cliente e já estou fazendo outro site seguro pra ele. Agora resolvi o problema.

Abraços.