SQL INJECTION

Javi,

Lo primero seria limpiar todas tus tablas que contengan los scripts
inyectados. Ve si algo puedes sacar de estos mensajes.

http://www.microsoft.com/communitie...er&midd3c990-c105-446d-b58c-9332616450b0&sloc=en-us


AMB


"Javi" wrote:

Mostrar la cita

Hola a todos,

Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la mayoría
de las tablas tengo código que se agregado en forma de script. Al ejecutar la
página se interpreta el código y al mostrarse la información de una tabla da
error por el tema del script, logicamente el antivirus salta indicando que es
un troyano.

¿Me pueden ayudar a solucionar este tema?

Muchas gracias por todo.

Hello Javi,

Javi em ASP pudes ulilizar consultas com parameters? se puderes usa dessa
forma já solucionas teu problema

Soy Portugues desculpa los errores :)

Mostrar la cita

Hola a todos,

Tengo una aplicación ASP que se alimenta de una base de datos SQL
2000. Desde hace unos dias he sido atacado con SQL INJECTION y ahora
en la mayoría de las tablas tengo código que se agregado en forma de
script. Al ejecutar la página se interpreta el código y al mostrarse
la información de una tabla da error por el tema del script,
logicamente el antivirus salta indicando que es un troyano.

¿Me pueden ayudar a solucionar este tema?

Muchas gracias por todo.

Efectivamente desde ASP puedes usar ADO para conectarte a la base de datos,
por lo tanto ejecutar SPs y pasar datos con parameters..


Saludos,
Jhonny Vargas P.
Santiago de Chile



"Joaquim" escribió en el mensaje de
noticias:
Mostrar la cita

Hello Javi,

Javi em ASP pudes ulilizar consultas com parameters? se puderes usa dessa
forma já solucionas teu problema

Soy Portugues desculpa los errores :)

Mostrar la cita

Hola a todos,

Tengo una aplicación ASP que se alimenta de una base de datos SQL
2000. Desde hace unos dias he sido atacado con SQL INJECTION y ahora
en la mayoría de las tablas tengo código que se agregado en forma de
script. Al ejecutar la página se interpreta el código y al mostrarse
la información de una tabla da error por el tema del script,
logicamente el antivirus salta indicando que es un troyano.

¿Me pueden ayudar a solucionar este tema?

Muchas gracias por todo.

Lo primero que tiene que hacer es diminuir el nivel de riesgo asegurando
efectivamente su base de datos, es decir que el usuario de conexiión solo
pueda accesar las tablas que necesita accesar.
Luego revise TODAS las páginas y coloque controles de ingreso es decir que
los campos numericos acepten numeros unicamente y los campo alfabéticos
acepten letras.
Controle los caracteres especiales como %, &, $, etc.
Coloque mensajes personalizados en las páginas, es decir capture el error
que devuelve sql y lo traduce para el usuario final.

Un saludo,

"Javi" wrote:

Mostrar la cita

Hola a todos,

Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la mayoría
de las tablas tengo código que se agregado en forma de script. Al ejecutar la
página se interpreta el código y al mostrarse la información de una tabla da
error por el tema del script, logicamente el antivirus salta indicando que es
un troyano.

¿Me pueden ayudar a solucionar este tema?

Muchas gracias por todo.