SQL INJECTION

Hola Javi (y hola Jhonny)
(me sumo al post)

Este problema lo puedes "DETENER" directamente en el IIS, claro que si
tienes acceso a el y para cuando quieran accesar por URL... existe una
utilidad (componente) llamando URLScan, que pueden adivinar mas o menos para
que puede servir :)
Les dejo para que investiguen

URLScan:
Microsoft Urlscan Filter v3.0(x86)
(32bits)
http://www.microsoft.com/downloads/...laylang=en

Enlaces:
-
Filtering SQL injection from Classic ASP
http://blogs.iis.net/nazim/archive/...c-asp.aspx

___________________________
Jose A. Fernandez
blog: http://geeks.ms/blogs/fernandezja




"Javi" escribió en el mensaje de noticias
news:

Muchas gracias Jhonny,

SAludos,

"Jhonny Vargas P." wrote:

Validando los datos en el Servidor de todos los Request("") si contienen
alguna comilla simple ' o los tag < >

Trata de arreglar las tablas...

Saludos,
Jhonny Vargas P.
Santiago de Chile


"Javi" escribió en el mensaje de
noticias:
>
> Hola a todos,
>
> Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
> Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la
> mayoría
> de las tablas tengo código que se agregado en forma de script. Al
> ejecutar
> la
> página se interpreta el código y al mostrarse la información de una
> tabla
> da
> error por el tema del script, logicamente el antivirus salta indicando
> que
> es
> un troyano.
>
> Para hacer los insert de las sql utilizo request("variable"),
> rs("campo"),
> session("variable")
>
> ¿Me pueden ayudar a solucionar este tema?
>
> Muchas gracias por todo.

On 23 ago, 19:38, "Jose A. Fernandez" wrote:

Hola Javi (y hola Jhonny)
(me sumo al post)

Este problema lo puedes "DETENER" directamente en el IIS, claro que si
tienes acceso a el y para cuando quieran accesar por URL... existe una
utilidad (componente) llamando URLScan, que pueden adivinar mas o menos para
que puede servir :)
Les dejo para que investiguen

URLScan:
Microsoft Urlscan Filter v3.0(x86)
 (32bits)http://www.microsoft.com/downloads/...18F-336...

Enlaces:
-
Filtering SQL injection from Classic ASPhttp://blogs.iis.net/nazim/archi...jection...

___________________________
Jose A. Fernandez
blog:http://geeks.ms/blogs/fernandezja

"Javi" escribió en el mensaje de noticiasnews:





> Muchas gracias Jhonny,

> SAludos,

> "Jhonny Vargas P." wrote:

>> Validando los datos en el Servidor de todos los Request("") si contienen
>> alguna comilla simple ' o los tag < >

>> Trata de arreglar las tablas...

>> Saludos,
>> Jhonny Vargas P.
>> Santiago de Chile

>> "Javi" escribió en el mensaje de
>> noticias:

>> > Hola a todos,

>> > Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
>> > Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la
>> > mayoría
>> > de las tablas tengo código que se agregado en forma de script. Al
>> > ejecutar
>> > la
>> > página se interpreta el código y al mostrarse la información de una
>> > tabla
>> > da
>> > error por el tema del script, logicamente el antivirus salta indicando
>> > que
>> > es
>> > un troyano.

>> > Para hacer los insert de las sql utilizo request("variable"),
>> > rs("campo"),
>> > session("variable")

>> > ¿Me pueden ayudar a solucionar este tema?

>> > Muchas gracias por todo.- Ocultar texto de la cita -

- Mostrar texto de la cita -

Buenas!

A mi me pasaba algo parecido y me comentaron que la mayoria de SQL
INJECTIONS (Por no decir todas) se puede solucionar cambiando las
comillas (') que recojas en los Resquest por comilla comilla (no
confundir con "comilla doble") asi evitas que alguien te comente la
sentencia SQL y te meta otra sentencia maliciosa. Ya que al colocar
comilla doble el gestor lo traduce como comilla simple, y evita el
"comentar" la sentencia. 100% recomendado.

Igualmente el uso del ADO.Command también lo veo una solución la mar
de practica y también te queda el código mu bonico!

David Benito.
Saluditos!