Атака SQL-инъекции в DNN 6
У меня есть клиентский сайт, на котором регистрируется множество пользователей, которые явно фальшивые. Сайт использует формы xmod на 4 страницах, но эти формы выглядят невосприимчивыми к SQL-инъекциям. Я подумал, может быть, это была атака с использованием межсайтового скриптинга, но не уверен, какой вектор мог быть использован.
Может кто-нибудь сказать мне или указать мне документацию конкретных векторов атаки для DNN 6, чтобы я мог остановить безумие.
Спасибо
1 ответ
Обновить до DNN7?
Вы уверены, что они не просто используют автоматический скрипт для регистрации аккаунтов?
Бюллетени по безопасности http://www.dnnsoftware.com/Platform/Manage/Security-Center
Из того, что я прочитал, команда DNN говорит, что они невосприимчивы к SQL-инъекциям, но вам нужно либо обновить, либо ввести код самостоятельно, так что это зависит от сайта и от какого года.
Официальный ответ на эту тему от команды DNN: "Недавно мы получили несколько электронных писем на псевдоним security@dotnetnuke.com от пользователей, чьи сайты пострадали от внедрения SQL-запросов, с вопросом о том, есть ли у DotNetNuke какие-либо проблемы с внедрением SQL-файлов. Короткий ответ: нет. Для того чтобы атаки SQL-инъекций работали, как правило, код должен выполнять динамические SQL-операторы, т. е. SQL-операторы, которые создаются с помощью конкатенации и выполняются непосредственно в базе данных или в рамках хранимой процедуры, которая выполняет оператор с помощью EXEC или sp_execute. В этой политике мы избегаем использования обоих этих подходов и вместо этого используем только хранимые процедуры с параметрами, поэтому установки по умолчанию DotNetNuke и любых основных модулей не уязвимы для атак внедрения SQL."