Segurança é 99%

[diego_sl 0]

Bom galera,como andei vendo uns tópicos,grande parte da galera que frequenta aqui ta realmente preoculpado com a segurança dos seus sistemas,então resolvi abrir esse tópico: :) DICAS DE SEGURANÇA :) assim,quem tem alguma dica,posta qui,sem repetir dicas já ditas,assim sendo...um resumão das principais dicas de segurança...e pra começa ai vai a minha....1ª - Em arquivos de conexão com o banco de dados que você cria o objeto de conxão e passa a string de conexão,nunca utilize extensões como .inc .bde etc etc etc...use asp...pois se forem de outras extensões qualquer um que saiba onde está o arquivo,pode baixar e ver o usuário e senha para conectar no seu banco,ou seja,para detonar com ele.Bom,por enquanto é isso,flw e espero que todos colaborem,flwwww :)

[d.eleete 0]

1ª - Em arquivos de conexão com o banco de dados que você cria o objeto de conxão e passa a string de conexão,nunca utilize extensões como .inc .bde etc etc etc...use asp...pois se forem de outras extensões qualquer um que saiba onde está o arquivo,pode baixar e ver o usuário e senha para conectar no seu banco,ou seja,para detonar com ele.

EHhehEH ja comecei me ferrando :) . . . O problema eh q eu sei disso e mesmo assim uso um arquivo chamado CONEXAO.INC .. eeheheh vicio.. preguiça.. sei la..

[d.eleete 0]

2º Tratamento da informação inserida pelos usuarios.. atraves de formularios ou querystrings :)

[diego_sl 0]

deleete,explica melhor e dá exemplos nas dicas,vamo pensar que tem usuários leigos que leêm também :) diz alguns exemplos de como e porque tratar os erros,flw

[marcoscoms 0]

Onde colocar o banco de dados, bem alguns hosts não tem pastas protegidas, então qualquer usuario poderá fazer o download do bd via http, logo o ideal seria colocar esse banco de dados em pastas protegidas, verifique com seu host.

[d.eleete 0]

Se você digita aspas simples no inicio de um campo você estará abrindo novamente a sql e podera alterar a seleção.. um exemplo...Se você tiver algum sistema de login, tente digitar isso nos campos: ' or 'a'='a . . . se não houver tratamento você terá acesso ao sistema.. mesmo não conhecendo a senha...Entendeu?Expliquei bem rapidaum...

[d.eleete 0]

Onde colocar o banco de dados, bem alguns hosts não tem pastas protegidas, então qualquer usuario poderá fazer o download do bd via http, logo o ideal seria colocar esse banco de dados em pastas protegidas, verifique com seu host.

Geralmente os servidores determinam duas pastas aos usuarios... "www" e "db" . . on o dns apontará somente para a pasta www .. impossibilitanto o download do banco caso ele esteja na pasta db . . neh..

[diego_sl 0]

deleet,hehe, c não m entendeu,eu sei do skema d tratar,quem não vai sabe é os cara q tao começando,era pra eles que eu queria q tu explicasse,hehe,mas já ajudou auqilo que tu postou,e outra coisa né...sempre COLOKAR SENHA NOS BANCOS DE DADOS!

[gastao 0]

isso nao adianta, pede para seu hospedeiro, colocar o server dele mais seguro.....nao adianta você fazer algo em sua page...lutar, se o hospedeiro nao ajudar!!! B)

[diego_sl 0]

gastão...mas você tem q fazer a sua parte também não acha?pois qq adianta ter sua página hospedada no servidor da NASA se para o usuário se loga como admin basta ele colokar "admin')--"hehe,essa ai em cima é boa einh,mas não contem pra ninguém, B)

[d.eleete 0]

gastão...mas você tem q fazer a sua parte também não acha?pois qq adianta ter sua página hospedada no servidor da NASA se para o usuário se loga como admin basta ele colokar "admin')--"hehe,essa ai em cima é boa einh,mas não contem pra ninguém, B)

user: administratorsenha: 123 :) High security!Nenhum programa de brute force tenta essas senhas :)

[CooLeR 0]

Se você digita aspas simples no inicio de um campo você estará abrindo novamente a sql e podera alterar a seleção.. um exemplo...Se você tiver algum sistema de login, tente digitar isso nos campos: ' or 'a'='a . . . se não houver tratamento você terá acesso ao sistema.. mesmo não conhecendo a senha...Entendeu?Expliquei bem rapidaum...

Para resolver isso, nada melhor que um replace neh!!

[d.eleete 0]

Se você digita aspas simples no inicio de um campo você estará abrindo novamente a sql e podera alterar a seleção.. um exemplo...Se você tiver algum sistema de login, tente digitar isso nos campos: ' or 'a'='a . . . se não houver tratamento você terá acesso ao sistema.. mesmo não conhecendo a senha...Entendeu?Expliquei bem rapidaum...

Para resolver isso, nada melhor que um replace neh!!

Ah eh... :unsure: No caso se for INSERIR dados tem q substituir o caracter da aspas simples por um outro pouco usado.. e na hora de resgatar os dados tem q fazer o inverso :huh:

[rodrigofaria 0]

Fazer o inverso? Não entendi...me ajuda aí, eu tô tratando minhas consultas agorinha...

[d.eleete 0]

Fazer o inverso? Não entendi...me ajuda aí, eu tô tratando minhas consultas agorinha...

Exemplo:

 

Você quer inserir seu nome no banco OK:

 

Vamos supor que você digite isto no campo "NOME":

'Joseh Joao Joaquim Juarez da Silva

você faria isto para trata-la (substituindo a aspas simples pelos caracteres "++"):

var_NOME = replace(request.form("nome")," ' ", "++")

Os dados que entrariam no banco seriam estes:

++Joseh Joao Joaquim Juarez da Silva

Agora, para você resgatar os dados como eles foram orginalmente digitados pelo usuario você substitui o ++ por aspas simples (o inverso) desta forma:

replace(RecordSet("nome")," ++ ", " ' ")

Entendeu? (OBs.. Editei pq fiz coisa errada.. eheheh )

[rodrigofaria 0]

Ah, sim...valeu...abs,rodrigofaria

[diego_sl 0]

ninguém mais tem dicas de segurança não?c ninguem + tem podemo dize q muito mais da metade dos sites podem ser invadidos facilmente....mas espero que seja apenas timidez da parte de vocês....postem as dicas! ;)

[d.eleete 0]

Mas ai nos ja entrariamos em vulnerabilidades de serviços e não do ASP em si... Temos que focar somente no ASP..

 

 

 

Uma das coisas que muitos servidores ainda não se protegeram eh do FSO :) ... Atraves do FSO qualquer outro "dominio" na mesma maquina tem acesso aos seus arquivos.. POR ISSO.. CUIDADO! :D

[diego_sl 0]

<_< boa deleete ,essa eu não tinha m ligado mesmo!outra coisa que devemos nos preocupar também é quando permitimos aos usuários fazer upload de arquivos.sempre bloquei o upload d arquivos php,asp,aspx,etc etc etc pois se não quyalquer um pode fazer upload d arquivos de sciprt para o seu servidor e executá-los sem ennhum problema,então CUIDADOai vai um exemplo de como fazer isso com o SmartUploadUpload.DeniedFilesList = "exe,bat,asp,vbs,php,jsp,aspx"era isso por hj,flwwwwww ;)

[Patricia 0]

Se você tiver algum sistema de login, tente digitar isso nos campos: ' or 'a'='a . . . se não houver tratamento você terá acesso ao sistema.. mesmo não conhecendo a senha...

é eu já entrei no administrador de alguns sites devido esse erro!no meu caso eu defino um login e uma senha no proprio codigo, mas se eu quiser gravar o login e a senha de cada usuario no banco, como faço pra protege-lo, pra que não ocorra esse erro, e alguem acabe entrando onde não deve????