Inyección SQL
Imagen: Tecnocápsulas

El Internet Storm Center reporta que más de un millón de sitios web han sido afectados por el ataque de inyección de SQL “Lilupophilupop”. El ataque está dirigido a sitios web que se encuentran ejecutando ASP o ColdFusion con una base de datos MSSQL. Un JavaScript cargado lleva, por medio de redirecciones y JavaScript ofuscado, a una página falsa de descarga de Adobe Flash y software antivirus.

Una simple búsqueda en Google puede llevar a muchos de los sitios web afectados por esta vulnerabilidad, la búsqueda que se puede realizar es la siguiente (con todo y las comillas):

“script src=”http://lilupophilupop.com/sl.php”

Se puede agregar la función de “site:” para ver si un sitio web ha sido afectado (asumiendo que Google ya indexó el sitio con todo y el código dañino):

“script src=”http://lilupophilupop.com/sl.php” site:tusitio.com

Cabe mencionar que éste es un problema en el código de las páginas afectadas, no una vulnerabilidad de ASP o de MSSQL. Siempre hay que revisar bien los datos antes de introducirse a una base de datos, y utilizar sentencias preparadas de SQL si es posible.

Fuente:
Internet Storm Center (en inglés)

Published by Juan Valencia

Trabajo como Autor y Editor en XCuriosidades, además de encargarme de la parte técnica. Soy un Desarrollador Web con muchos años trabajando en el ramo.

Leave a comment