SQL Injection - Caso sério!

Oi pessoal…
Antes queria pedir que não deixassem de ler a mensagem só porque tem a palavra ASP do texto abaixo:

Eu estava estudando ASP ontem e comecei a acessar meu banco de dados com o ASP…
Bem, eu estou estudando ASP loucamente porque vou fazer um “teste de código” em uma empresa na terça.
Então comecei a pensar sobre SQL Injection, e simulei alguns nos cadastro que estava fazendo aqui pra aprender…

Então pensei sobre barrar parte do SQL Injection usando Javascript, mas ai eu pensei: Mas acho que deve dar pra tirar do caminho a checagem do Javascript. Então pensei, vou ver se tem algum site em ASP por aí pra ver se realmente dá pra fazer isso.
O primeiro site que me veio na cabeça foi o site da empresa onde vou fazer o teste que já tinha visto que era em ASP quando fui mandar o currículo… Por impulso fui lá no site da empresa e tentei fazer um teste de SQL Injection direto na pagina, ele já fazia a checagem em JavaScript como eu já suspeitava. Mas o que eu queria saber era se era possível tirar o JavaScript do jogo pois assim teria que fazer a checagem no código ASP também.
Por azar meu, realmente foi possível. Mas eu acredito que havia checagem novamente no código ASP porque deu usuário e senha inválidos.
Aí que vem a preocupação: Logo abaixo tinha: “Seu IP foi gravado para auditoria”
Nossa, depois que vi isso tô com medo até agora. Eu não sei se o código que escrevi no usuário e senha daria certo pois coloquei sem pensar direito.
Bem, eu não sei se eles saberiam se eu conseguisse entrar, mas se eu conseguisse logar, eu ia fechar na hora.

Queria saber de vocês se pode acontecer algo comigo. :?
O que você faria se tivesse no meu lugar?

De uma coisa eu sei, nunca mais vô me meter a “hacker”. Só essa sensação de insegurança tira totalmente minha tranquilidade. :frowning:
Muito obrigado!

você possui IP fixo?
por um acaso é o mesmo IP que você usou para mandar o curriculo??

Olá

[]s
Luca

flavi0
Não, eu uso velox. E o IP que mandei o curriculo não é o mesmo porque havia enviado outro dia.
Mas não acho que esse seja o problema pois: Provavelmente quando alguem colocar usuario e senha inválidos, le grava numa tabela do banco o usuario e a senha que foram testados e o IP.
Como o usuario e a senha tem codigo de sql injection, o perigo mora aí…

Quando eles forem ver, vão querer saber quem tentou fazer isso, OU não.
E se eles forem atrás, acho que eles tem que pedir pra Velox fornecer os meus dados. Acho que nesse caso a Velox fornece, OU nao.
É isso que quero saber: A que eu estou sujeito por essa tentativa sem sucesso?

A proposito, o site www.ipgeo.com.br mostra aproximadamente a cidade que corresponde ao IP.

Luca
Eu estou mais com medo do que com vontade de rir. :frowning:
E esse vídeo ai foi exatamente o que eu fiz. Só que já tinha lido sobre reter SQL Injection em JavaScript e nunca tinha visto ninguém falando que era possível fazer essa “gambiarra”. Era como se eu fosse descobrir que tudo o que falavam na internet pra barrar SQL Injection tinha ainda sim uma falha.

Olá

Não esquenta, esquece. Continua estudando que isto não vai dar em nada.

Se eles descobrirem, fale a verdade. Conte o que contou para nós. Se eles não gostarem é porque precisam de gente burra e conformada que não parece seu caso.

[]s
Luca

Luca
Valeu kra. Valeu mesmo… Só em ver essas palavras já me tranquiliza mais. Tô loco pra estudar mas nao paro de pensar nisso. :frowning: Vo ficar lembrando ae das suas palavras…

Num será que ninguém aqui no fórum já fez uma besteira dessas pra me dar um consolo não?!

Só digo uma: NUNCA FAÇAM ISSO EM CASA, NO TRABALHO, NA FACULDADE!!! E LEMBRE-SE: PENSE NAS CONSEQÜÊNCIAS ANTES DE FAZER ALGO DO TIPO!!!

Cara relax véio se concentra nos estudos, vc não cometeu nenhum crime por causa disso… :wink:

Te garanto que quase todos aqui do fórum já tentaram burlar sistemas fazendo isso dentro das empresas e ninguém(ou quase) foi punido. :smiley:

Boa sorte!

bem ético vc hein?

bem ético vc hein?[/quote]

Amigão,

Pode até não ser ético, mas a preocupação com a segurança do aplicativo também deve ser prioridade. E a ética de quem codificou o sistema ?

Lembre-se que você, eu, o amigo que comentou ai e você criticou podemos ter éticas, mas existem muitas pessoas que não tem, e o fato do sistema ser vulneravel é o que realmente é preocupante.

Att,

Olá

Concordo com o Rogério, a ética ou a falta dela está na intenção e não no ato em si. Fazer um testinho é muito diferente de tentar invadir com interesses escusos. Até porque quem realmente quer fazer algo errado não deixa rastros sobre seu próprio IP de uma maneira muito na cara.

[]s
Luca

bem ético vc hein?[/quote]

Amigão,

Pode até não ser ético, mas a preocupação com a segurança do aplicativo também deve ser prioridade. E a ética de quem codificou o sistema ?

Lembre-se que você, eu, o amigo que comentou ai e você criticou podemos ter éticas, mas existem muitas pessoas que não tem, e o fato do sistema ser vulneravel é o que realmente é preocupante.

Att,

[/quote]

Rogerio vc não entendeu , o cara deu uma opiniao que “quase todos” tentaram burlar algum tipo de sistema , como ele garante isso? qual embasamento ele fala por todos?
É este meu questionamento… :stuck_out_tongue:

ramilani12 quando disse que quase todos já tentaram eu generalizei é óbvio mas foi a forma de se expressar dizendo que não é uma coisa do outro mundo quem já fez isto e é claro que não falo por todos até porq conheço poucos do fórum pessoalmente…

E como os amigos já comentaram acima fazer um testezinho de Sql Injection numa aplicação na minha opinião acho totalmente normal até porq se tiver um problema fazeria questão de resolver ou apontar como Cr porque segurança é muito importante pra qualquer aplicação, o que vc prefere descubrir o erro e corrigir antes no desenvolvimento ou deixar subir pra produção e o cliente correr o risco de integridade dos dados??

Tá vendo como a sua opinião crítica fugiu totalmente do assunto inicial do tópico e quase gerou um flame war, dá próxima vez que quiser criticar alguém favor mande uma mensagem em pvt.

Valew!!!

Nossa galera, relaxa!
Primeiramente gostaria de agradecer de coração só por vcs terem lido. Mto obrigado mesmo. Principalmente ao colega que me tranquilizou com o fato de eu não ter cometido um crimo. Que alivio ouvir isso de outra pessoa… Porque falar isso pra si mesmo é mesmo que nada… hehe

Sobre isso de ter intenção, eu sei que existem mil maneiras de deixar o mínimo possível de rastros. O meu medo é que o pensamento da “pessoa do outro lado” seja: “Não podemos perder a oportunidade de pegar um hacker que deu bandeira.”

Sobre a questão de testar a segurança da própria aplicação eu acho o seguinte… Existem vagas por aí para Testers. Não sei exatamente como trabalha um tester, mas EU ACHO (não tenho certeza) de que ele tem que saber algo sobre segurança também… Afinal, um usuário comum pode digitar algo comprometedor sem intenção também.