Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

cprezia

Segurança. Site de acesso restrito

Por , em ASP Clássico

Recommended Posts

Salgado    4

Salgado
Postado
O php tem aquela vunerabilidade que todos conhecem que é o SQL Injection. Nós não temos esse problema.

A SQL Injection não é problema de uma linguagem WEB (ASP, PHP,...) e sim da SQL!

E pelo que pude ler não é um bug, é uma caracteristica da SQL, não a Injection em si, mas os códigos utilizados para a mesma.

 

As sessions não "passam" de um server para o outro, muito menos estão acessiveis diretamente via browser, elas são armazenadas nos bancos de memória do server. Como já foi dito você terá sim que ter acesso ao server para poder burlar uma session, nosso amigo cita FTP anônimo, ou seja você coloca seu código no servidor alheio, o que já uma gravíssima falha de segurança, pois creio ser mais fácil você conseguir fazer o download via FTP do que o Upload.

 

Gostei dessa discussão sobre segurança!

Compartilhar este post

Link para o post
Compartilhar em outros sites

Salgado    4

Salgado
Postado
E que eu saiba não teve nenhum registro de problemas no ASP. O unico nem foi culpa dele.. Coitado.

 

1 or = '1

Eu não sei PHP, mas como se comporta a SQL Injection nele, não seria dessa mesma forma?

 

Descuido do programador que não tratou esses tipos de entrada!

 

 

Vejam bem eu não estou aqui querendo desafiar/destratar ninguém só estou querendo aprender, tudo que estou escrevendo não deve ser interpretado como desafio ou ofença, por favor!

Compartilhar este post

Link para o post
Compartilhar em outros sites

nostrinkes    0

nostrinkes
Postado

Este problema é polemico mais o tópico é construtivo.Muito bom.Meus conhecimentos em relação ao tema só dá para aplaudir.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Salgado    4

Salgado
Postado
O php pelo que eu vi aceita instruçoes SQL inteiras pela URL:

 

pagina.asp?SQL = "Sel"...

 

 

 

Agora esse or1 não sei...

Como assim?

Não é necessário recuperar esses dados e executar? o PHP roda direto a SQL?

Compartilhar este post

Link para o post
Compartilhar em outros sites

Penna    0

Penna
Postado

Não sei se você ficou sabendo da vunerabilidade do fórum phpBB?Se liga só nisso:Entra no www.txt.org(Acho que é isso)Clica em PHP, e vai no tuto > VunerabilidadesVeja só que doido.

Compartilhar este post

Link para o post
Compartilhar em outros sites

PeenGween    0

PeenGween
Postado

:unsure: Grande,Vou entrar na conversa, o session é bem seguro sim, mas se você quer aumentar ainda mais o nível de segurança do seu sistema, você pode fazer o seguinte...Se você ainda não tiver monte um fluxograma do sistema e só permita que tal página seja exibida se ela for acessada pela página que você determinar que pode acessar. Exemplo.A pagina cadastro.asp só pode ser exibida através da pagina menu.asp (ou sei lah o que)isso você faz com um Request.ServerVariables("HTTP_REFERER")Isso não deixa o sistema impossível de ser passado, mas aumenta o nível da segurança.Abraços,PeenGweenenunes@atrium.org.br

Compartilhar este post

Link para o post
Compartilhar em outros sites

alphamek    2

alphamek
Postado

Gostei da discusão!!!! hhuuu..

 

Bom galera....

 

Eu proponho o seguinte, Gostei desse tema SEGURANÇA !

 

Então desde ficarmos descutindo o teorico que tal partimos para a pratica e fizermos scripts para testar a segurança, oq eu você`s acham. Eu tenho um servidor e um dominio onde podemos testar os scripts, ou até mesmo posso ver algum espaço para nós aqui na iMasters, vão depender de você`s e quantas pessoas gostariam de participar de um grupo sobre segurança ASP.

 

Querem fazer um teste realmente com essas SESSIONS. Pois bem.

 

Tenho um sistema que estou criando por diversão, e ele está na rede para fazer alguns testes meus... de planejamento, e o sistema de LOGIN dele é feito em SESSION.

 

Bom, quem consegue bular esse sistema ?

 

Acesse : SISTEMA TESTE AQUI.

 

Bom, como eu disse, ele está por SESSIONS, sem nenhuma outra proteção ou função em especial para proteção, tá bem para testes mesmo... que quizer tentar bular ele.. pode ir em frente... e posta aqui o que conseguiu.

 

Vamos melhorar nossos pontos de vista sobre o assunto segurança.

 

Abraços,

Compartilhar este post

Link para o post
Compartilhar em outros sites

Paulinha Active Server Girl    0

Paulinha Active Server Girl
Postado

:lol: Meu num é querendo me intrometer no assunto.. eu amo ASP, Asp para mim é tudo mas se você quer tanta segurança nessas paginas migra para um Jsp ou Servlets com um Oracle pois se você trabalha com segurança ja ouviu falar em java :lol: não é facil eu escrever uma coisa dessas mas :P segurança é segurança :D beijao pessoal

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito