Páginas restritas!

[mkboy 1]

Ao efetuar o login coloco um valor numa session!

E nas páginas onde quero que somente usuários logados acessem eu coloco algo do gerero:

ASP

[*]

[*]if session("login") <> "on" then

[*]response.redirect"form_login.asp"

[*]end if

 

 

Isso funciona! Mas só isso é realmente seguro para proteger minhas páginas restritas?

[DackAle 0]

Pensando que não há como o usuario criar uma session para burlar, sim...Sendo isso primeira que qualquer coisa no seu codigo esta otimo, ele sempre sera redirecionado... utilizo essa forma a muito tempo e nunca me trouxe problema....Mas se alguem tiver sugest~´oes de formas alternativas pu talvez melhores... ta valendo =)

[mkboy 1]

Isso é suficiente... Mas o interessante também é criar sessões com nomes menos óbvios!

É por isso que não coloquei o nome de minha seção, se não tornaria obvio tb!

;)

 

 

Existe alguma possibilidade de simular uma session sem ter acesso ao código?

Tipo o cara descobre que a session é LOGIN=YES, tipo ele tentar criar uma session LOGIN e popular a session do sistema?

 

Será que isso é possível?

[DackAle 0]

Session é unica para CADA usuario e CADA site...Ou seja aquela session de login criada só serve para o usuario atual na sua pagina, se entrar outro ele vai ter sua session...Ou seja mesmo que o cara saiba o nome, só se ele tivesse acesso as suas paginas (por ftp), sei la para ele criar uma pagina com essa session, acessa-la para ativar a session... e assim navegar nas paginas restritas... o que é impossivel a não ser que o cara tenha os dados so seu ftp...rsSenão só se o cara for magico...rs =P

[mkboy 1]

Senão só se o cara for magico...rs =P

Opa!

 

Quer dizer que um Hacker mágico consegue?

http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif

[DackAle 0]

Quer dizer que um Hacker mágico consegue?

<{POST_SNAPBACK}>

Não precisa ser mágico! http://forum.imasters.com.br/public/style_emoticons/default/grin.gif Mas alguma forma tem, do contrário não haveriam tantas invasões por aí...

 

http://forum.imasters.com.br/public/style_emoticons/default/yes.gif

<{POST_SNAPBACK}>

Claro... rs

 

mas a maioria das invasões são por falta de proteções em formulario mesmo, arruma coisa aqui, esquece outra ali mas no caso da session, de tudo que ja li até hoje acho 99% impossivel "emular" uma session, ja que pelas "regras", que cada um ususario tem susa session dentro do site, não teria como o cara fazer uma... rs

 

Vamos ver se o pessoal mais antigo sabe de algo a mais =P

[dark0 0]

o que você pode fazer, pra garantir mais segurança tb.. eh testar se a pagina anterior.. (http_referer) estava dentro do seu dominio.. isso em paginas que você usa programação pra redirecionar entre elas..tipo.. se o cara tem que passar pelo login.. pra entrar na area admin.. você pode testar, dentro da pagina admin.. se a pagina anterior.. de login.. estava dentro do seu dominio..isso evita um usuario pegar seu form.. alterar e dar submit no action do seu form original..só uma dica a maisabraço

[mkboy 1]

No meu faço!if pagina_anterior for <> da que eu escrever aqui thenvoltaend if

[dark0 0]

mas tb seria interessante testar se a pagina anterior esta no seu dominio.. pois a pagina pode ser a mesma.. mas o dominio de onde ela vem naum..

[hargon 64]

Eu não sei se isso é 100% seguro, mas sempre uso nas minhas páginas e até hj não tive problemas:

ASP

• if Request.ServerVariables("HTTP_REFERER") <> Request.ServerVariables("SERVER_NAME") and Request.ServerVariables("HTTP_REFERER") = "" and session("login") <> "on" then

• response.write "acesso negado"

• else

• response.write "logado"

• end if

[dark0 0]

hargon, você montou um if aí com praticamente tudo o que eu falei, hehesó seria interessante colocar dentro do if.. (na condição de true), um response.end, para parar a execução do codigo!abraço

[ultra 0]

Existe alguma possibilidade de simular uma session sem ter acesso ao código?

Tipo o cara descobre que a session é LOGIN=YES, tipo ele tentar criar uma session LOGIN e popular a session do sistema?

 

Será que isso é possível?

<{POST_SNAPBACK}>

Cara, uma vez fiz o teste e conseguí passar uma session da minha máquina pra session do meu site, mas tem que ser com o mesmo nome

 

ex.: criei uma página que dava um valor a uma sessão, e depois digitei na url o endereço da página de autenticação, que tinha um código igual o teu. É lógico que ambas as páginas eram minhas, mas fiz isso só pra curiosidade e as sessões devem ter o mesmo nome

[hargon 64]

Logar na sua maquina e entrar no servidor com a session criada na maquina pessoal, nao vou falar que nao tem jeito pq nao conheco tudo sobre session, mas ate onde eu conheco, acho impossivel.

 

A session é criada no servidor, cada session criada possui um ID, não tem como você logar em um servidor e entrar em outro servidor usando a mesma sessao.

 

Eu fiz alguns teste aqui e não consegui fazer isso...

 

O unico modo que conheco de logar dessa forma, é se o sistema de login for através de criação de cookies.

[Mário Monteiro 179]

ja tinha visto este topicomuito boa a didatica do caramas não concordo em tudo nãotipo estes replaces<%login = request.Form("login")login = replace(login,"'","''")login = replace(login,"#","''")login = replace(login,"$","''")login = replace(login,"%","''")login = replace(login,"¨","''")login = replace(login,"&","''")login = replace(login,"'or'1'='1'","''")login = replace(login,"--","''")login = replace(login,"insert","''")login = replace(login,"drop","''")login = replace(login,"delet","''")login = replace(login,"xp_","''")login = replace(login,"select","''")login = replace(login,"*","''")%>se bem tratado fica desnecessario e diria até problematico se alguem quiser usar uma string dessas não tem nada a ver barrar...mas no geral ele mostra como geralmente deixamos pequenos furos e nem nos tocamos dissoele mostra como ser mais detalhistas com nossos forms...