[GTER] RES: Como saber informacoes sobre um IP

Marco Aurelio Miranda macmiranda at gmail.com
Wed Jun 27 11:42:15 -03 2007


bom, pela descrição do ataque, não me parece que o sujeito esteja apenas
querendo brincar. se fosse apenas um teste de sql injection, ele tentaria
uma vez, não conseguiria e iria embora. dada a insistência do sujeito no
ataque, é possível que ele tenha algum interesse em causar prejuízos ou
obter lucro com isso. pode ser que você não concorde mas eu acho que uma
pessoa com essas intenções deve ser punida de alguma forma.

On 6/21/07, Rodolfo Andrade <rodolfo at anasoft.com.br> wrote:
>
> Caro Marco,
>
> Vou discordar da sua mensagem. Supondo que você acesse uma página de um
> produto na seguinte URL: www.umaloja.com/produto.php?id=20 e depois teste
> SQL Injection passando: www.umaloja.com/produto.php?id='. Se o resultado
> indicar vulnerabilidade na consulta SQL, o certo, IMHO, é reportar ao
> administrador da UMALOJA.COM e não a outros órgãos.
>
> Se fosse assim, entupiríamos os orgãos com probleminhas triviais, enquanto
> os problemas mais graves (como DDoS) que tiram do ar, às vezes, redes
> inteiras, ficariam "pra depois". Sinceramente, sou totalmente contra
> reportar problemas simples que deveriam ser resolvidos por programadores
> competentes. E mais, SQL Injection não é algo novo, existem centenas de
> sites em dezenas de idiomas tratando disso e só vai gerar danos se o
> programador for "ingênuo" (e, em alguns casos, se o atacante perder muito
> tempo estudando a estrutura do banco de dados).
>
> E olha que estamos apenas falando de UMA vulnerabilidade WEB. Imagina
> então
> se fossemos reportar sites com servidores desatualizados, vulnerabilidades
> em sessões, inclusão remota de arquivos, XSS, HTML Injection, etc etc etc.
>
> Mais uma coisa: Você acha que os órgãos competentes vão atrás de alguém
> por
> causa de um simples SQL Injection via Web?
>
> Meus R$0,02.
>
> Abraços,
>
> Rodolfo Andrade
> [applying to ZCE]
> rodolfo at anasoft.com.br
> www.anasoft.com.br
>
>
> ----- Original Message -----
> Date: Wed, 27 Jun 2007 08:43:20 -0300
> From: "Marco Aurelio Miranda" <macmiranda at gmail.com>
> Subject: Re: [GTER] RES: Como saber informacoes sobre um IP
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <a957cd420706270443t2d8ea6ffgc4986fd1268106e0 at mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8; format=flowed
>
> Acho que independente de ser um problema simples de resolver, devemos
> reportar os ataques ?s entidades competentes por uma quest?o ?tica. ?
> poss?vel que este sujeito, al?m de estar tentando invadir sistemas web por
> a?, seja um grande spammer. Pode ser que voc? consiga resolver seu
> problema
> facilmente mas quantos outros podem estar tendo dor de cabe?a por causa do
> cara. Se voc? tem a chance de sacanear ele, por que n?o faz?-lo?
>
> On 6/20/07, Rodolfo Andrade <rodolfo at anasoft.com.br> wrote:
> >
> > Prezado Paulo,
> >
> > Duvido muito que a Telef?nica forne?a os dados ? voc?. At? onde sei, os
> > dados somente s?o fornecidos mediante mandato judicial.
> >
> > E mais, SQL injection ? algo muito simples de ser resolvido, n?o vale a
> > pena
> > perder tempo brigando com a Telef?nica. Corrija o problema e seja feliz.
> > =)
> >
> > Na empresa que trabalho, ? direto cara acessando /admin /administrator
> > /logs, tentando injection, etc.. ? obriga??o do programador fazer um
> > sistema
> > seguro e confi?vel. Se fosse algo mais grave, como citaram anteriormente
> > (synflood), a? sim...
> >
> > Abra?os
> >
> > Atenciosamente,
> >
> > Rodolfo Andrade
> > [applying to ZCE]
> > rodolfo at anasoft.com.br
> > www.anasoft.com.br
> >
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list