quarta-feira, 6 de abril de 2011

Video ASP injection demostração

Video aula com demonstrando um ataque  ASP injection feito pelo hacker NoxXxoN





Função que previne ataque a sites utilizando SQL Injection.

Para quem não sabe SQL Injection é uma falha de programação comumente cometida entre desenvolvedores que estão começando a desenvolver sistemas e não têm uma noção muito boa sobre segurança.

Essa falha permite que o atacante faça login como administrador sem nem saber o nome do usuário ou sua senha, permite que se insiram dados nas tabelas utilizadas pelo site ou até que se delete completamente uma tabela ou banco de dados de um site sem nem mesmo precisar fazer o login.

'CODIGO:
function LimparTexto(str)
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[") str = replace(str,">","]")
str = replace(str,"update","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
str = replace(str,"'","")
str = replace(str,"#","")
str = replace(str,"$","")
str = replace(str,"%","")
str = replace(str,"¨","")
str = replace(str,"&","")
str = replace(str,"'or'1'='1'","")
str = replace(str,"--","")
str = replace(str,"insert","")
str = replace(str,"drop","")
str = replace(str,"delet","")
str = replace(str,"xp_","")
str = replace(str,"select","")
str = replace(str,"*","")
LimparTexto = str
end function

'----------------------------------[ Para usar a função] ------------------------------------
$login = LimparTexto($_POST["login"])
$senha = LimparTexto($_POST["senha"])

Fonte do video:http://www.youtube.com/watch?v=cyHYZVaKRqI&feature=mfu_in_order&list=UL
Autor: NoxXxoN

Fonte do codigo protetor de tela de login a sql injectiton:
http://codigofonte.uol.com.br/codigo/asp/seguranca/funcao-para-evitar-sql-injection
Autor: Rodrigo Araujo

Nenhum comentário:

Postar um comentário

............