Anomalie #3146: Tentative d'attaque sur la page https://campagnes.candidats.fr/legislatives2017/ - Candidats.fr / Pacte du Logiciel Libre législatives 2017 - Gestionnaire de projets de l'April

Anomalie #3146

Tentative d'attaque sur la page https://campagnes.candidats.fr/legislatives2017/

Ajouté par Christian P. Momon il y a presque 6 ans. Mis à jour il y a presque 4 ans.

Statut:

Fermé

Priorité:

Normale

Assigné à:

Christian P. Momon

Version cible:

Début:

10/05/2018

Echéance:

% réalisé:

Temps estimé:

Description

Depuis 2 ou 3 semaines, des lots de centaines d'erreurs sont notifiées par courriel :

Error : The used SELECT statements have a different number of columns
Post : array (
)
[…]
Get : array (
'action' => 'liste_candidats',
'departement' => '-9064\' UNION ALL SELECT 5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822,5822#',
)
[…]
'QUERY_STRING' => 'action=liste_candidats&departement=-9064%27%20UNION%20ALL%20SELECT%205822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%2C5822%23',

Ça sent la tentative d'attaque par injection SQL.

Historique

Mis à jour par Christian P. Momon il y a presque 6 ans

Statut changé de Nouveau à Résolu

J'ai neutralisé le point d'attaque avec le code suivant :

if (!ctype_digit($args['departement'])) {
croak ('Bad departement parameter.');
}

Mis à jour par Christian P. Momon il y a presque 4 ans

Statut changé de Résolu à Fermé
Assigné à mis à Christian P. Momon

Formats disponibles : Atom PDF

Projet

Général

Profil

Candidats.fr » Candidats.fr / Pacte du Logiciel Libre législatives 2017

Demandes

Rapports personnalisés

Anomalie #3146

Tentative d'attaque sur la page https://campagnes.candidats.fr/legislatives2017/

Historique

Mis à jour par Christian P. Momon il y a presque 6 ans

Mis à jour par Christian P. Momon il y a presque 4 ans