引用:
|
作者hakken
...這只是在文字串內塞入HTML tag的一種code injection,sql injection不是這樣!
sql injection不只是windows會有的!寫作不良的web application都會有這樣的危險。
|
小弟認為有八成的可能是 SQL Injection ..
因為由樓主提供的截圖看來..資料庫內已經被 update 過而塞入了 java script了 ..
所以每個家族名稱下面都出現重複性的 java script code ..
按照截圖判斷..似乎該討論區系統有檔的java script的樣子..所以還是看得到 code ..
(現在工作機是跑xp不敢去連

.. 回家換linux機器再連到該網站試試看..)
如果是有心人去留言版內重複貼code的話..
應該會在發現有擋住script的情況下停止貼的動作..所以我認為是已經洞悉資料庫欄位的 SQL Injection ..
而不是單純的貼文塞code的code injection..
另外以他蔓延的情況而言..
我認為是針對特定的留言版系統進行攻擊的..
設定程式去跑..抓到是特定留言版系統時就用SQL Injection塞code進去..
不過現階段是看圖說故事..一切都都還是小弟的猜測啦..
晚上回家換linux的機器在連過去看看..