Publicado em 30 de mar.

segurança no site

Gente... eu pesquisando na net achei diferentes solucçõe para na hora do acesso restrito ficar realmente restrito, estava super feliz pois estava funcionando tudo direitinho... mas como eu sou um cara que testa varias vezes achei um ponto fraco, eu tenho uma pagina com login e senha para digitar e entrar na area administrativa, ate ai tudo bem, eu digito o login e senha e ele faz o que tem que fazer, meu teste começa ai, eu copiei o caminho da area restrista e depois digitei outro endereço da net.... entrei nesse endereço qualquer, mais ai eu colo no browser o caminho da pagina administrativa, e para a minha tristeza, ele entrou...

la eu tenho um botao sair, é claro que quando eu clico eu encerro a session e volta para o default do site mesmo, mas isso é normal, alguem teria uma solução... ? por favor !!!

Obrigado...

Discussão (17)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Mário Monteiro· 30 de mar.

cria sessions e coloca em cada pagina da area administrativa para eveitar este tipo de acesso direto

wilnet· 30 de mar.

Isso mesmo cara.... eu faço assim veja:

<%
If IsEmpty(Session("admrestrito")) Then Response.Redirect "./index.asp" End If
%>Eu coloco em todas as pgs que eu quero q esteja logado... assim se n tiver logado corretamente ele redireciona para a pg q você quiser chamar... um ex: Ops cara você n está autorizado vou chamar a POLICIA Hehehe!!!

Por favor GRANDE Mário, é isso mesmo?????

Abraços

edgard· 30 de mar.

cria sessions e coloca em cada pagina da area administrativa para eveitar este tipo de acesso direto

Cara... mas eu ja fiz isso... por isso nao consigo entender o que ha de errado...

Veja bem... eu não sei se você's entenderam o problema... toda vez que eu clico no botao sair

ele executa isso abaixo no logout.asp

Session.Contents.Remove("usr")

response.Redirect("../default.asp")

até ai ta tudo bem... clicando no botao sair ele faz o que tem que fazer... o problema é que, nas minhas paginas administrativas eu tenho esse codigo abaixo:

If session("usr")="" Then

Response.Write "Você não está Logado no sistema!"

 Response.write "<a href='../default.asp'>Clique aqui para se logar.</a>"

 Response.End()

End If

mas se tiver tudo legal, ele contiua o codigo abaixo tranquilamente... o problema é que... como eu havia dito acima nos topicos daqui, eu entro na area administrativa e la eu copio o endereço de onde estou e digito www.qualquer endereco.com.br e chegando nesse endereço qualquer eu colo aquele endereço da area administrativa onde eu estava e volta pra la... porque a session("usr") náo é = "" entao ele executa o codigo abaixo e nao é pra fazer isso concordam, apartir do momento que eu sai da pagina por qualquer meio... ele nao pode voltar, ele deveria dar aquela mensagem acima "Você não está Logado no sistema!", ou seja, ele deveria apagar a session de alguma forma, como eu faço quando eu clico no botao sair.

la no meu default.asp do site mesmo, eu executo <%Session.Contents.Remove("usr_log_ok")%> porque eu fiz um teste assim, nao clico no botao sair, mais eu antes de entrar no administrativo, ou seja, eu ainda estou no site mesmo que digita o login e senha, eu copio o endereço do browser e digito o login e senha, ai beleza, ele entra no administrativo, só que se eu colar no browser o endereço do site, veja bem, estou no administrativo, e colo o endereço do site no browser, ele vai para o site, eu nao cliquei no botao sair se essa linha nao estivesse la no default.asp do site <%Session.Contents.Remove("usr_log_ok")%> tranquilamente eu poderia voltar para o endereço administrativo pelo browser que ele entraria normal... entao isso eu descobri e por isso eu adicionei essa linha no default.asp do site, entao menos um problema, só que eu nao posso saber em qual site o dono do site vai entrar quando estiver no administrativo, ele deveria clicar no botao sair, mas pode ser que ele digite um site qualquer estando dentro do administrativo, ou seja, em nenhum momento o meu codigo executou isso <%Session.Contents.Remove("usr_log_ok")%>, pq simplesmente o dono do site la, nao clicou no botao sair... E AGORA ?

SERA QUE EU CONSEGUIR PASSAR MEU PROBLEMA? vai ver eu nao entendi o que você's me falaram tambem...

mas por favor... se eu falei alguma coisa errada me falem por favor !!!

Valeu

Anderson Roberto· 30 de mar.

Acredito que fazendo algo na Global.asa deva funcionar.

wilnet· 31 de mar.

Olha amigo eu tb sou bem leigo em ASP, mas seu caso acho q é simples... na sua Pg onde tem seus campos de Usuario e Senha você cria uma session ex:

Session("admrestrito") = chq_usuario("usuario")
e nas pgs onde você quer fazer a validação faz a verificação da mesma...

<%
If IsEmpty(Session("admrestrito")) Then Response.Redirect "./index.asp" End If
%>
Como eu disse, eu usso assim em meu site e funciona perfeito, mesmo q eu cole a URL de uma pg qualquer q precisa de login, ele força o redirecionamento, tem q se logar mesmo.

No q eu posso ajudar é isso, caso os grandes expert tiver outras sugestão irão te passar tb ok?

Abraços

Anderson Roberto· 31 de mar.

E isso funciona quando você entra em outro site e depois volta?

Pelo que entendi ele quer que se o usuário sair do site, assim que voltar, terá que fazer o login novamente.

Mário Monteiro· 31 de mar.

isso é verdade pois a session nao é perdida instataneamente

o que é feito neste caso é gerar um codigo randomico ou criptografado para aquela sessao ai se o cara sair e depois voltar como o codigo nao estará preenchido pedirá login novamente

Mas a forma como está so permitirá que alguem que ja logou volte para a pagina

wilnet· 31 de mar.

Realmente acontece isso sim Anderson... depois q eu me logei a session permanece gravada, mesmo q eu navege em vários sites diferentes (desde que: eu continue com o mesmo browser), eu posso retornar a minha pg de login que eu estarei logado ainda... Agora se eu fechar este browser e abrir-lo novamente, perderei minha session, ai terei q me logar de novo.

Espero q nosso amigo edgard esteja acompanhando esse tópico, pois é o mais interessado...

Abraços

edgard· 31 de mar.

>
Realmente acontece isso sim Anderson... depois q eu me logei a session permanece gravada, mesmo q eu navege em vários sites diferentes (desde que: eu continue com o mesmo browser), eu posso retornar a minha pg de login que eu estarei logado ainda... Agora se eu fechar este browser e abrir-lo novamente, perderei minha session, ai terei q me logar de novo.

Espero q nosso amigo edgard esteja acompanhando esse tópico, pois é o mais interessado...

Abraços

Claro amigos, com certeza estou acompanhando tudo... e isso que você disse agora sobre sair e ai sim funcionar do jeito certo, acontece comigo o mesmo, se eu saio do browser ai sim se eu quiser colar o endereço da area administrativa ele nao deixa... mas só assim né.... fechando tudo... pq se nao... to pesquisando se tem como fazer isso...

desisto· 31 de mar.

eu nao entendi muito bem qual o problema

o cara fez o login e você quer impedir dele abrir uma nova janela copiando a url?

Mário Monteiro· 31 de mar.

como falei anteriormente uma forma é criar mais um mecanismo como um codigo criptografado ou gerado randomicamente que iria como parametro na url assim se o cara sair da pagina ele teria que ter este codigo tambem

mas vai dar na mesma no caso cara copiar todo o link

um exemplo

http://seusite/admin/index.php?codigo=ca27...799cf94acdb69c4

e este codigo voce testa com o que voce tem gravado em algum outro lugar mas se o cara copiar todo o link e sair do site baste ele colar denovo

acaba dando na mesma

Como disse anteriormente so o fato de voce testar em cada pagina administrativa se o cara ta logado ja deixa bem mais seguro seu site pois so quem ja logou vai poder ver o conteudo

edgard· 31 de mar.

>
como falei anteriormente uma forma é criar mais um mecanismo como um codigo criptografado ou gerado randomicamente que iria como parametro na url assim se o cara sair da pagina ele teria que ter este codigo tambem

mas vai dar na mesma no caso cara copiar todo o link

um exemplo

http://seusite/admin/index.php?codigo=ca27...799cf94acdb69c4

e este codigo voce testa com o que voce tem gravado em algum outro lugar mas se o cara copiar todo o link e sair do site baste ele colar denovo

acaba dando na mesma

Como disse anteriormente so o fato de voce testar em cada pagina administrativa se o cara ta logado ja deixa bem mais seguro seu site pois so quem ja logou vai poder ver o conteudo

Entao beleza... pq isso ele ja faz mesmo... inclusive eu peguei um codigo que a opção daquela seta do browser de poder voltar eu retirei... ficou muito mais dificil de voltar... ate pq eu perguntei para o cliente se eu podia tirar para ficar um pouco mais seguro... e ele me disse que nao teria problema... entao... se bem que nao tem tanta importancia, pq se eu zero session na hora que ele retorna para o site, ele nao vai conseguir voltar se ele nao preencher o login e senha... mas beleza...

Bom... entao é normal acontecer isso que esta acontecendo? O Anderson Roberto falou algo sobre a global.asa, sera que tem que mexer ali ?

Mário Monteiro· 31 de mar.

nao sei se mudará muito nao pois continuara armazenada a session

so acabaria com o logado se destruir a session

edgard· 31 de mar.

>
nao sei se mudará muito nao pois continuara armazenada a session

so acabaria com o logado se destruir a session

Entao é isso mesmo, o que eu fiz ja ta certo !!! vai ficar assiim mesmo

Beleza galera... até daqui a pouco, pq tenho certeza que outras duvidas surgiram no processo do meu site rs !!!

Abraços... OBRIGADO

desisto· 1 de abr.

opa

seguinte, eu uso uma funcao que trava a pagina em todos os formularios e qq area administrativa

ele veta o acesso caso venha "de fora", uma nova janela, ou em modo local

function trava_pg()

IF Request.ServerVariables("HTTP_REFERER") <> Request.ServerVariables("SERVER_NAME") and Request.ServerVariables("HTTP_REFERER") = "" THEN

response.write "Página inválida!"

response.End()

end if

end function

você pode adaptar e trocar o response.write "Página inválida!" e zerar a session e redirecionar pro formulario de login

espero que sirva http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[]s

edgard· 1 de abr.

>
opa

seguinte, eu uso uma funcao que trava a pagina em todos os formularios e qq area administrativa

ele veta o acesso caso venha "de fora", uma nova janela, ou em modo local

function trava_pg()

IF Request.ServerVariables("HTTP_REFERER") <> Request.ServerVariables("SERVER_NAME") and Request.ServerVariables("HTTP_REFERER") = "" THEN

response.write "Página inválida!"

response.End()

end if

end function

você pode adaptar e trocar o response.write "Página inválida!" e zerar a session e redirecionar pro formulario de login

espero que sirva http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[]s

FUNCIONOU MESMO !!! OBRIGADO CARA !!!

desisto· 2 de abr.

opa

estamos ai pra isso

eu gosto tb de gravar todos os dados possiveis quando essa funcao é executada, pra saber quem esta tentando acessar via local, principalmente se for tentado via SQLinjection

sempre tem gente que se cadastra e roda tudo em local pra entrar na adm, é bom saber quem sao os espertinhos, ai você vai e desativa a conta do cara por seguranca.

e ja que você ta falando sobre seguranca, a minha eu uso:

chega de login e senha apenas

[]s e boa sorte