Video aula com demonstrando um ataque ASP injection feito pelo hacker NoxXxoN
Função que previne ataque a sites utilizando SQL Injection.
Para quem não sabe SQL Injection é uma falha de programação comumente cometida entre desenvolvedores que estão começando a desenvolver sistemas e não têm uma noção muito boa sobre segurança.
Essa falha permite que o atacante faça login como administrador sem nem saber o nome do usuário ou sua senha, permite que se insiram dados nas tabelas utilizadas pelo site ou até que se delete completamente uma tabela ou banco de dados de um site sem nem mesmo precisar fazer o login.
'CODIGO:
function LimparTexto(str)
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[") str = replace(str,">","]")
str = replace(str,"update","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
str = replace(str,"'","")
str = replace(str,"#","")
str = replace(str,"$","")
str = replace(str,"%","")
str = replace(str,"¨","")
str = replace(str,"&","")
str = replace(str,"'or'1'='1'","")
str = replace(str,"--","")
str = replace(str,"insert","")
str = replace(str,"drop","")
str = replace(str,"delet","")
str = replace(str,"xp_","")
str = replace(str,"select","")
str = replace(str,"*","")
LimparTexto = str
end function
'----------------------------------[ Para usar a função] ------------------------------------
$login = LimparTexto($_POST["login"])$senha = LimparTexto($_POST["senha"])
Fonte do video:http://www.youtube.com/watch?v=cyHYZVaKRqI&feature=mfu_in_order&list=UL
Autor: NoxXxoN
Fonte do codigo protetor de tela de login a sql injectiton:
http://codigofonte.uol.com.br/codigo/asp/seguranca/funcao-para-evitar-sql-injection
Autor: Rodrigo Araujo
Nenhum comentário:
Postar um comentário
............