Anomalie #3146
ferméTentative d'attaque sur la page https://campagnes.candidats.fr/legislatives2017/
0%
Description
Depuis 2 ou 3 semaines, des lots de centaines d'erreurs sont notifiées par courriel :
Error : The used SELECT statements have a different number of columns
Post : array (
)
[…]
Get : array (
'action' => 'liste_candidats',
'departement' => '-9064\' UNION ALL SELECT 5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822#',
)
[…]
'QUERY_STRING' => 'action=liste_candidats&departement=-9064%27%20UNION%20ALL%20SELECT%205822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%23',
Ça sent la tentative d'attaque par injection SQL.
Mis à jour par Christian P. Momon il y a environ 6 ans
- Statut changé de Nouveau à Résolu
J'ai neutralisé le point d'attaque avec le code suivant :
if (!ctype_digit($args['departement'])) {
croak ('Bad departement parameter.');
}
Mis à jour par Christian P. Momon il y a environ 4 ans
- Statut changé de Résolu à Fermé
- Assigné à mis à Christian P. Momon