Tấn công SQL Injection trong C#

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Tấn công SQL Injection trong C#

[Discussion] Tấn công SQL Injection trong C#	19/06/2011 21:02:13 (+0700) \| #1 \| 241422

minhhath
Member

Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline

mình dùng Tool Acunetix Web Vulnerability Scanner để scan website thì thấy phát hiện có lỗi SQL Injection nhưng mà website đó phát triển bằng C# nên việc tấn công theo cách dựa vào lỗi SQL Injection của PHP không khả thi vì mình thử nó cứ tìm chạy câu truy vấn đó nhưng không thông báo lỗi nên không thể làm gì tiếp ai có phương án nào hay share với nha

[Discussion] Tấn công SQL Injection trong C#	19/06/2011 22:15:23 (+0700) \| #2 \| 241427

chube
Member

Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline

- việc tấn công SQL Injection ở C# khác mấy nền kia ở chỗ nào vậy anh ? nó không báo lỗi là do anh làm sai , phương án là tiếp tục thử trong mê cung hoặc quay đầu là kiến thức căn bản hihi/

.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/

[Discussion] Tấn công SQL Injection trong C#	20/06/2011 17:36:47 (+0700) \| #3 \| 241495

minhhath
Member

Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline

có lẻ kiến thức của bạn cao hơn mình nhiều.
mình thì chỉ không hiểu nên đưa ra ý kiến để thảo luận.
ví dụ: http://example.com/
mình dùng Tool trên thì nó báo có lỗi SQL Injection nhưng khi mình thêm các giá trị theo hướng dẫn trên Hav thì không thấy có xuất hiện lỗi.mình thêm code như sao.
http://example.vn/#'1' thì nó không thông báo lỗi.
ý mình ở đây nó không đưa ra giá trị như http://example.vn/?id=1 mà là khi click vào các liên kết hay các bài viết nó đều cách nhau dấu # mình không thể chạy câu truy vấn trên trình duyệt được.
mình thấy đó là chổ khác nhau,không biết có phải không.do kiến thức hạn hẹp chỉ hiểu vậy nếu thấy sai anh em góp ý

[Discussion] Tấn công SQL Injection trong C#	24/06/2011 17:01:47 (+0700) \| #4 \| 242012

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Theo mình việc tấn công SQL Injection trên 1 website C# nếu họ dùng

procedure trong sql server, và dùng đối tượng comman để truyền các parameter thì việc tấn công SQL Injection coi như không khả thi

vì khi đó sql server và comman nó sẽ tự động validate dữ liệu trước khi truyền vào

[Discussion] Tấn công SQL Injection trong C#	01/07/2011 17:12:25 (+0700) \| #5 \| 242586

minhhath
Member

Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline

theo bạn thì nên dùng phương án gì để khai thác lỗi đó?

[Discussion] Tấn công SQL Injection trong C#	01/07/2011 21:51:36 (+0700) \| #6 \| 242602

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Nếu họ đã khắc phục bằng cách dùng procedure trong sql server và đối tượng SQLComman rồi thì lỗi đó đã được họ bịt rồi, ko có cách khai thác nữa đâu

Tìm cách khai thác lỗ hổng khác đi, có thể xem các mục upload của họ xem có cho upload file thoải mái ko

Hoặc xem phần đăng nhập của họ, có phần nhập ký tự đặc biệt và cho sai thoải mái không

[Discussion] Tấn công SQL Injection trong C#	03/07/2011 08:13:25 (+0700) \| #7 \| 242683

minhhath
Member

Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline

cảm ơn bạn đã định hướng giúp mình nhưng mình dùng tools thì nó vẫn baod lỗi SQL Injection đấy thôi,nhưng nó có chú ý thế này cái website đó nếu mình thêm ##xa7 vào link thì nó có thay đổi giao diện website trông không giống ban đầu

[Discussion] Tấn công SQL Injection trong C#	03/07/2011 15:26:59 (+0700) \| #8 \| 242692

nXqd
Member

Joined: 16/03/2010 06:23:23
Messages: 4
Offline

Thực sự mình chưa hiểu rõ câu hỏi của chủ thread lắm. Nếu bạn dùng setting parameter theo cấu trúc set chuẩn của từng ngôn ngữ thì khả năng bị SQLInjection là rất thấp.

Còn nếu bạn chèn như chèn string thì đương nhiên khả năng bị là có smilie

[Discussion] Tấn công SQL Injection trong C#	04/07/2011 18:59:10 (+0700) \| #9 \| 242747

congrallion
Member

Joined: 09/02/2007 18:05:09
Messages: 4
Offline

Sao bạn không thử public site lên ae xem thử nhỉ smilie

Hay site bị ở những biến ẩn đc run bằng jquery nhỉ

[Discussion] Tấn công SQL Injection trong C#	04/07/2011 22:27:22 (+0700) \| #10 \| 242752

minhhath
Member

Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline

mình cũng muốn Public nhưng vì đây là website của một tổ chức nhà nước mình không thể tuỳ tiện Public được bạn thông cảm nha.
mình chỉ muốn khai thác lỗi này thành công thì mình sẻ gặp Admin của website để thông báo.
ý mình là tại sao mình dùng Tools scan thấy có lỗi SQL Injection nhưng khi mình truyền giá trị thì nó vali hết rồi,bạn nào có ý kiến cho mình học hỏi thêm thanks đã đọc bài viết

[Discussion] Tấn công SQL Injection trong C#	06/07/2011 12:11:18 (+0700) \| #11 \| 242885

kiddycoder
Member

Joined: 05/07/2011 11:21:05
Messages: 1
Offline

Nếu coder sử dụng đối tượng SqlCommand và sql toàn dùng store procedure thì không khai thác đựoc gì đâu.

[Discussion] Tấn công SQL Injection trong C#	13/07/2011 09:41:22 (+0700) \| #12 \| 243418

minhhath
Member

Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline

theo bạn mình không thể khai thác bằng lỗi SQL Injection được sao?
mình mới tìm ra lỗi SSL nhưng không am hiểu nhiều mong các bạn chỉ bao thêm
Thân ái đã xem bài viết

Go to:

Users currently in here
1 Anonymous