Har en hemsida som just blivit hackad!
Är det nån som har info om 'basher13'
Verkar som om dom har använt sig av SQl Injection

En sökning på Google gav 7 500 träffar så snorungen har jobbat rätt bra.

Det du får göra är att se till att folk inte kan köra med SQL injections på din databas och ta lärdom av det inträffade. Polisanmäla är knappast någon idé att göra, man får bita i det sura äpplet helt enkelt.

På http://www.nextgenss.com/papers/advanced_sql_injection.pdf så finns det en väldigt bra artikel om just SQL injections.


//Anna-Karin

Om du skulle ha extrem tur kan det ju finnas en backup kvar av den icke hackade informationen kvar, men chansen är ju ytterst liten.
Om du har ett webhotell tar de ju en backup oftast varje natt...

Dock ger det här dig ju en möjlighet att göra dina sidor säkrare...
Tog en titt på sidorna han hackat och jag tror ditt största problem är att du inte ersätter appostroftecken (') med dubbla sådana...

Men för att vara rätt så säker krävs att man kontrollerar allt, siffror får bara vara siffror, text ska gå igenom en ersättning av appostrofer och datum ska ses till så de verkligen bara är datum...

Mvh,
Thomas

Hämnden är ljuv, eller?

Hans hemsida är
http://www.stardawn.net

Är det du som är ansvarig för sidan boxmedia?

Siten är vidöppen för SQL injections och Cross site scripting, basher13 kan nog göra som han vill med din sida. Testa t.ex att söka pä "<h1>Erik</h1>" eller vad som helst som bryter din SQL sträng, t.ex "'".


Problemet är inte så enkelt att fixa som att byta ut ' mot '' som föreslås längre upp i den här tråden, du har större problem än så. Jag vill rekommendera dig att läsa artiklarna på www.sakerkod.se. Kontakta gärna mig via den webbsidan om du vill ha vägledning eller råd om hur du tar dig ur problemen.

Om du inte läste mitt inlägg tidigare i tråden ordentligt vill jag påpeka att jag påpekade att det första han ska göra är att ersätta alla appostroftecken med dubbla sådana.
Men det gör siten inte 100% säker, försvårar bara för de mindre kunniga... Som jag även påpekade ska man validera all data man hanterar som ska in i databasen, även sådant man hämtar ut därifrån för en kort stund...

Dessutom ska man inte tillåta appostroftecken där det inte är absolut nödvändigt och enbart släppa igenom tecken som är nödvändiga i sammanhanget...

Att bara tillåta ett visst antal tecken är ett effektivt sätt att hindra SQL injection tillsammans med all validering av alla typer av fält...
Ok för client-side valideringar men det absolut nödvändigaste är valideringen på servern innan något anrop görs till servern med inmatade data...

Mvh,
Thomas

Ärligt talat Sven, jag skulle inte vilja vara en av dina kunder...
Säkerheten är A och O, och kan man ta sig in på adminsidorna utan att ens ha någon aning om vad det är för användarnamn och lösenord eller till och med ta reda på hela databasstrukturen genom ett sökfält är det extremt dåligt.
Som en ost med hål där hålen är så stora att de tar upp större delen av osten...

Mvh,
Thomas

Tack allihopa för all info!

Har ju känt till detta med SQL Injection sedan tidigare men inte reflekterat över detta hot så mycket.

Nu vet jag bättre och har läst på ordentligt om ämnet. Kommer snarast att inför skydd på alla mina alster.

Känner mig dock inte på nåt sätt ensam om dett "slarv". Surfade runt lite och testade mina nyvunna kunskaper på flera webbplatsser, både mer och mindre kända, fann att det finns många som inte klarar SQL Injection.

Därmed stänger jag denna tråd.
Tack igen alla!
Svenne