99% de segurança

[diego_sl 0]

manga...não skecendo de citar que o IP de quem tenta invadir é anotado.... outra...o href já está sendo encaminhado,heheheheobs: não se preoculpem que a parte do IP ali está desabilitada agora pra vcs testarem....e mesmo q tivesse ligada...eu não intendo buliufas de invasão,hehehehe

[diego_sl 0]

E com você não tratou isso vamos diminuir esses 99% pra 85 / 90%!Assim não permite invasão, mas o "roubo" de (algumas) informações ainda é possível! :P

hmm....q tipo de informações podem ser "roubadas" com um formulario clone?

[Salgado 4]

No caso só coisa leve! Ou seja tudo o que você, fora da área de administração, exibir na tela! o XML.HTTP, por exemplo, pode se utilizar disso para capturar algumas informações de usuários que você exiba na tela!

 

É claro que tem que saber a formatação de saida dos dados para capturá-los corretamente.

 

Nosso amigo Gastão pode (se quizer) lhe explicar mais sobre isso.

[diego_sl 0]

já sakei +- como funciona o skema ali....e outra....fiz um skema no "verifica_logado.asp" q v c as páginas q o cara ta vindo é do site já ou c ta vindo d outra... ele pega o request.ServerVariables("HTTP_REFERER") e da um mid até o fim do dominio...ou seja...c o cara veio de qualquer página de fora de http://www.fielprodutora.com.br ele corta e volta pra página de d login,hehehe

[gastao 0]

já sakei +- como funciona o skema ali....e outra....fiz um skema no "verifica_logado.asp" q v c as páginas q o cara ta vindo é do site já ou c ta vindo d outra... ele pega o request.ServerVariables("HTTP_REFERER") e da um mid até o fim do dominio...ou seja...c o cara veio de qualquer página de fora de http://www.fielprodutora.com.br ele corta e volta pra página de d login,hehehe

acho q usar http_referer, nao é uma solução feliz, pois tem browsers q nao aceitam......eu por exemplo usei isso em um sistema, mas me ferrei, o browser do meu cliente nao aceitava...... e era I.E ..

[manga 0]

já sakei +- como funciona o skema ali....e outra....fiz um skema no "verifica_logado.asp" q v c as páginas q o cara ta vindo é do site já ou c ta vindo d outra... ele pega o request.ServerVariables("HTTP_REFERER") e da um mid até o fim do dominio...ou seja...c o cara veio de qualquer página de fora de http://www.fielprodutora.com.br ele corta e volta pra página de d login,hehehe

acho q usar http_referer, nao é uma solução feliz, pois tem browsers q nao aceitam......eu por exemplo usei isso em um sistema, mas me ferrei, o browser do meu cliente nao aceitava...... e era I.E ..

Peralá gastão, isso roda no server e não no browser do cliente!!

[gastao 0]

já sakei +- como funciona o skema ali....e outra....fiz um skema no "verifica_logado.asp" q v c as páginas q o cara ta vindo é do site já ou c ta vindo d outra... ele pega o request.ServerVariables("HTTP_REFERER") e da um mid até o fim do dominio...ou seja...c o cara veio de qualquer página de fora de http://www.fielprodutora.com.br ele corta e volta pra página de d login,hehehe

acho q usar http_referer, nao é uma solução feliz, pois tem browsers q nao aceitam......eu por exemplo usei isso em um sistema, mas me ferrei, o browser do meu cliente nao aceitava...... e era I.E ..

Peralá gastão, isso roda no server e não no browser do cliente!!

o referer, é habilitado pelo cliente, como q teu server vai saber a pagina anterior q ta em outro servidor ???ahhh e outra coisa, fiz em Javascript tambem pra tirar a prova Real, e mesma coisa......

[diego_sl 0]

Mais você soh se preocupou em proteger o local onde o cara vai digitar a senha e o login para entrar na área de administração, e se esqueceu de fazer o mesmo em IDs por exemplo!!! Mais ai, qual a função mágica que você usou?login = Replace(Request.Form("login"), "'", "''")senha = Replace(Request.Form("senha"), "'", "''")? <_<

não... <_< <_< foi algo + complexo...do tipo

<!--#INCLUDE FILE="../inc/conexao.asp"--><%    abrev = request("abrev")    senha = request("senha")    Chars="',@,#,$,%,¨,&,*,(,),-,+,=,<,>,?"    Chars =Split(Chars,",")    For i = LBound(Chars) to UBound(Chars)      abrev = Replace(abrev, Chars(i), "")      senha = Replace(senha, Chars(i), "")    Next    abrev = server.HTMLEncode(abrev)    senha = server.HTMLEncode(senha)    referencia = request.ServerVariables("HTTP_REFERER")    if referencia <> "http://www.fielprodutora.com.br/admin/asp/login.asp" and referencia <> "http://www.fielprodutora.com.br/admin/asp/login.asp?msg=1" and referencia <> "http://www.fielprodutora.com.br/admin/asp/login.asp?msg=2" and referencia <> "http://www.fielprodutora.com.br/admin/asp/login.asp?msg=3" and referencia <> "http://www.fielprodutora.com.br/admin/asp/login.asp?msg=4" then      response.clear      response.redirect "login.asp?msg=4"      response.End()    end if    sql = "SELECT * FROM LALA "    sql = sql & "WHERE UPPER(ABREV) = UPPER('"&abrev&"')"    set rsVERIFICA = conn.execute(sql)    total = rsVERIFICA.RecordCount    if CInt(total) = 0 then      response.clear      response.redirect "login.asp?msg=1"      response.End()    end if    sql = "SELECT * FROM LALA "    sql = sql & "WHERE UPPER(ABREV) = UPPER('"&abrev&"') "    sql = sql & "AND SENHA = UPPER(RTRIM('"&senha&"')) "    set rsUSUARIO = conn.execute(sql)    total = rsUSUARIO.RecordCount    if total <> 0 then      Session("codigo") = rsUSUARIO("CODUSUARIO")      Session("abrev")  = rsUSUARIO("ABREV")      response.clear      response.redirect "pagina.asp"       response.End()    else      response.clear      response.redirect "login.asp?msg=1"      response.End()    end if%>

[diego_sl 0]

já sakei +- como funciona o skema ali....e outra....fiz um skema no "verifica_logado.asp" q v c as páginas q o cara ta vindo é do site já ou c ta vindo d outra... ele pega o request.ServerVariables("HTTP_REFERER") e da um mid até o fim do dominio...ou seja...c o cara veio de qualquer página de fora de http://www.fielprodutora.com.br ele corta e volta pra página de d login,hehehe

acho q usar http_referer, nao é uma solução feliz, pois tem browsers q nao aceitam......eu por exemplo usei isso em um sistema, mas me ferrei, o browser do meu cliente nao aceitava...... e era I.E ..

quanto a isso não terei problema,pois o suporte da minha empresa instalou o IE 6 por outros problemas e de lambuja me dei bem,hehe

[Penna 0]

Um sistema pra ser 99% seguro, não é preciso só pensar no ASP (Programação). Você deve pensar em tudo. Imagina se alguem colocou alguma coisa no seu computador para ver todas as teclas digitadas? Acho que você acaba de perder pontos. Achei errado esse tópico. Você deveria ter falado, que você fez um sistema bem, seguro. E não desafiar. Alem de tudo debochar do cara que falou que clonou o formulário. Véio, você fez bem errado. Sabia que uma pessoa pode invadir seu server e detonar com esse seu sistema de login 99% seguro, usando um simples code ASP? No mundo nada é 99%seguro. Por isso dou uma escala de até 50% pq os outros, podem ser encontradas falhas na programação. Seu sistema pode ser 49%. Você acha que esse seu super sistema vai durar quanto tempo? Dou 4 dias para alguem detonar com ele. E o que adianta gravar o ip? Você acha que quem for invadir o seu site vai deixar vestigios. E tava me recusando postar alguma resposta nesse tópico. Mas.... não tenho nada contra você, só não gostei dos seus pots nesse tópico. Leia direitinho, você vai ver que esse negócio subiu a sua cabeça, você esta se acahndo, varias pessoas tentaram e ninguem conseguiu. Pra faalar a verdade, e nem entrei, para tentar. Véio, para com isso.

[d.eleete 0]

talvez "SISTEMA DE LOGIN" 99% seguro?

[d.eleete 0]

Mais um detalhe:

 

Saca soh a frase q você fez:

 

- Não utilize formulários clones para tentar invadir o site.

 

Eu faria:

 

- Ocorreu um erro durante a operação. Tente Novamente.

 

Seria mais ético, penso :)

[diego_sl 0]

Um sistema pra ser 99% seguro, não é preciso só pensar no ASP (Programação). Você deve pensar em tudo. Imagina se alguem colocou alguma coisa no seu computador para ver todas as teclas digitadas? Acho que você acaba de perder pontos. Achei errado esse tópico. Você deveria ter falado, que você fez um sistema bem, seguro. E não desafiar. Alem de tudo debochar do cara que falou que clonou o formulário. Véio, você fez bem errado. Sabia que uma pessoa pode invadir seu server e detonar com esse seu sistema de login 99% seguro, usando um simples code ASP? No mundo nada é 99%seguro. Por isso dou uma escala de até 50% pq os outros, podem ser encontradas falhas na programação. Seu sistema pode ser 49%. Você acha que esse seu super sistema vai durar quanto tempo? Dou 4 dias para alguem detonar com ele. E o que adianta gravar o ip? Você acha que quem for invadir o seu site vai deixar vestigios. E tava me recusando postar alguma resposta nesse tópico. Mas.... não tenho nada contra você, só não gostei dos seus pots nesse tópico. Leia direitinho, você vai ver que esse negócio subiu a sua cabeça, você esta se acahndo, varias pessoas tentaram e ninguem conseguiu. Pra faalar a verdade, e nem entrei, para tentar. Véio, para com isso.

Bom...vamos por partes.1º questão de 99% seguro...cara..você nem deve ter lido todos os posts e já foi escrevendo...eu postei em uma das primeiras mensagens."é q eu matando o 1% dos q vao tenta invadi pelo ASP já me basta,pq se tentarem invadir o servidor dai o papo já não é + cumigo,hehehe,meu negocio é só deixar a aplicação segura"2º não desafiei ninguem,só pedi para as pessoas tentarem entrar para que eu tenha certeza que por ali o cara não vai entrar,como sei que aqui é um forum...existem muitas pessoas que sabem(e muito) mais que eu.3º Invadir o server...mesma resposta da 1º parte.4º "Sabia que uma pessoa pode invadir seu server e detonar com esse seu sistema de login 99% seguro, usando um simples code ASP? " Eu não sabia que tinha como fazer isso,e se tu ta falando com tanta convicção é porque realmente existe. Então posta para nós o código esse ai da invasão por ASP para sabermos como é para poder evitar.5º IP. Te digo que se um cara for realmente bom a ponto de conseguir apagar TODOS os vestígios dele,não existe sistema do mundo que iria barrá-lo. Ou seja...ele entraria no 1% que deixei à parte.6º falhas na programação. O objetivo desse tópico era fazer meu sistema passar por uma prova de fogo quanto à erros de programação,e acredito que passou com louvor,pois ninguém postou que conseguir e não reparei aparentes danos ao sistema.7º estou me achando? cara...se tu acha que eu vim a um fórum pedir para que quem souber,tentasse invadir para mim aprender outros metódos de evitar invasão,tu acha que estou me achando?então todo mundo que posta aqui se acha?eu debochei do cara que usou formulario clonado?quando?se alguém se sentiu ofendido por alguma das mensagens peço desculpas,mas acho que não einh.8º se tivesse subido a minha cabeça eu pegava e mandava todo mundo a m***** e simplesmente dizia. NINGUEM ENTRA NO MEU SISTEMA PQ ELE É MTO f*** ASSIM COMO EU.axo q era isso,cansei d escreve :P

[diego_sl 0]

Mais um detalhe:

 

Saca soh a frase q você fez:

 

- Não utilize formulários clones para tentar invadir o site.

 

Eu faria:

 

- Ocorreu um erro durante a operação. Tente Novamente.

 

Seria mais ético, penso :)

vlw pela dica..já alterei lá :D

[Fernando B. 0]

Pooooww... xeu falar vai:Não é preciso efetuar login no sistema administrativo para invadir um site... :o Logo, não é o sistema de login/senha que vai dizer se o cara consegue entrar no sistema ou não.Mas a saber, qualquer um pode dar uma de joão-sem-braço e conseguir a senha com alguém que tenha tal senha, e aí já vai ser uma invasão, não é mesmo? Não seria uma invasão puramente técnica, mas não deixaria de ser uma invasão.E também concordo com o Penna, acho o tópico sem nexo"Ah Fernando! Então porque postou?!" Bahh... Eu queria deixar minha opinião também... :unsure: - Fernando Botelho

[diego_sl 0]

Pooooww... xeu falar vai:Não é preciso efetuar login no sistema administrativo para invadir um site... :o Logo, não é o sistema de login/senha que vai dizer se o cara consegue entrar no sistema ou não.Mas a saber, qualquer um pode dar uma de joão-sem-braço e conseguir a senha com alguém que tenha tal senha, e aí já vai ser uma invasão, não é mesmo? Não seria uma invasão puramente técnica, mas não deixaria de ser uma invasão.E também concordo com o Penna, acho o tópico sem nexo"Ah Fernando! Então porque postou?!" Bahh... Eu queria deixar minha opinião também... :unsure: - Fernando Botelho

bom cara....c tu axa sem nexo com ou sem nexo...a minha opinião é a seguinte...isso é um forum...c eu não tivesse postado o fonte da minha página de login,td bem....qual a utilidade?mostrar q eu fiz uma coisa e não dar pra ninguem...inutil....agora...eu postei o fonte inteirinho...e aposto q tem gente q vai achar muito util...e provavelmente até usar em seus sites...bom...minha opinião é essa... <_< <_<

[William Lepinski 0]

aew.....quem tiver paciencia q tente fazer o seguinte:tem um programa....q eu agora naun lembro o nome....tem a capacidade de baixar o conteudo inteiro de um site http.....ou seja.....c eu colocar o seu site....www.fielprodutora.com.br....(achu q eh issu) :huh: .......ele vai baixar algumas paginas de seu codigo fonte.....ae eh soh examinar e atacar....sei lahnaun sei c dah certo pq naun fiko perdendo meu tempo invadindo site... :( ......issu eh coisa de ,...falow

[diego_sl 0]

aew.....quem tiver paciencia q tente fazer o seguinte:tem um programa....q eu agora naun lembro o nome....tem a capacidade de baixar o conteudo inteiro de um site http.....ou seja.....c eu colocar o seu site....www.fielprodutora.com.br....(achu q eh issu) :huh: .......ele vai baixar algumas paginas de seu codigo fonte.....ae eh soh examinar e atacar....sei lahnaun sei c dah certo pq naun fiko perdendo meu tempo invadindo site... :( ......issu eh coisa de ,...falow

ou de gente q busca profissionalismo né...e outra...não tem como baixar páginas asp...pq quando ela passa pelo IIS o IIS processa e só depois vai para a web...ou seja...tu vai receber a mesma resposta de alguém q tivesse tentado entra nas páginas via browser...

[Fernando B. 0]

aew.....quem tiver paciencia q tente fazer o seguinte:tem um programa....q eu agora naun lembro o nome....tem a capacidade de baixar o conteudo inteiro de um site http.....ou seja.....c eu colocar o seu site....www.fielprodutora.com.br....(achu q eh issu) :huh: .......ele vai baixar algumas paginas de seu codigo fonte.....ae eh soh examinar e atacar....sei lahnaun sei c dah certo pq naun fiko perdendo meu tempo invadindo site... :( ......issu eh coisa de ,...falow

ou de gente q busca profissionalismo né...e outra...não tem como baixar páginas asp...pq quando ela passa pelo IIS o IIS processa e só depois vai para a web...ou seja...tu vai receber a mesma resposta de alguém q tivesse tentado entra nas páginas via browser...

Foi malzzZZzZzz parceiro... Não quis ofender nem nada... Também adorava postar meus códigos na época que eu ficava em casa só fazendo os scripts que eu queria e talz... Mas hoje eu vejo que isso não rola... Quer ver, quanto tempo você já gastou só com esse script de login (tempo de execução e tempo aqui, perguntando se é vulnerável ou não)... Esse script é coisa para se fazer em 15 minutos, e com todas as verificações necessárias, bom, pelo menos as que eu julgo necessário... E vi que essa thread já tem mais de 30 posts... Pooow! Na minha opinião não está vulnerável nem nada, tá ótimo... Por isso disse não ter nexo isso tudo. Mas também é minha opinião... Valeu? :P - Fernando Botelho

[diego_sl 0]

Eu ainda prefiro ficar com o Replace(Request.Form("campo"), "'", "''") pq essa parada q você fez ai não vi função nenhuma...Protegendo @, #, $, %, etc... Então se um cara quiser se registrar com um desses simbolos ele não pode!!!Bah....Sinceramente? Não gostei!!!PS.: E concordo com a galera, você tah se achando demais kara... E ainda de quebra é meio arrogante!!! Sempre foi, não to falando isso por causa desse post, mais pelo conjunto!!!Se não gostou, sinto muito, eh minha opinião! Ieca!!!

bom...eu caprichei no fonte e postei pra galera...agora c tu axa sem função...mas vamus lá...aaa bom...sem função né?então pro carinha ai ^^ q se acha muito inteligente...experimenta usar assim então...sql = "SELECT USER WHERE USER = "&usuario& "AND SENHA ="&senha&"até ai beleza né?e qq aconteceria se seu usuário colocasse "12212--" no campo usuario(12212 seria o codigo de algum cliente seu))?aaaa q massa...ele entra como akele cliente sem precisar de senha né?bem...beleza então...ou então se tu faz uma validação de números ou letras no teu formulario...e o cara vai la clona teu formulario,remove as validações e digita oq quer...babaus validações...legal né?bom...inutieis eu naum diria...preventivas...talvez...