Segurança Na Internet
#31
Posted 28/11/2004, 10:49
#32
Posted 28/11/2004, 23:22
o problema do replace é o seguinte:boa... vivendo e aprendendo...
Com relação a isso, o Server.HTMLEncode que foi citado no 1º post já resolveria isso.velho.. gostei do seu tópico... tipo soh acho q devia colocar também, soh pra terminar uma referência a filtros gerais.. não soh de SQL injection...
tipo, pra scripts em geral... uma falha bem comum em murais q pela falta da mesma, acabam ficando abertos a sacanagens e modificações...
Explico:
imagine se em seu mural (sem filtro), alguém posta uma mensagem:
<script>while(true){alert("PAM!");}</script>
Quando seu ASP for ler o banco, ele simplesmente escreverá um script para todos os usuários, fazendo com q uma mensagem fique permanentemente na tela.. agora imagine isto com janelas... seria um inferno de janelas.....
para se ter uma idéia do que estou falando.. entrem em:
www.cliquenabalada.com.br
e postem uma mensagem com script no mural....
ninguem quer isso em seu site, correto?!
pois bem... para evitar isso, coloque antes de mandar os textos pro banco ou antes de escrever, um replace, removendo o sinal de menor e maior (<,>), mais ou menos assim:
Replace (variavel, ">", "")
Replace (variavel, "<", "")
cabô... duas linhas e nenhuma preocupação... rs..
(parabéns pela promoção iporto)
flws..
num dá tempo d testar agora, mas quando der, vo dá uma olhada...
tipo, prefiro sempre o replace pq tenho certeza do q tah rolando.
flws...
- digamos q vc tem um campo "username" onde o user quer se cadastrar com um caractere especial po rex.:
<nomedouser>
ja era. o cara se cadastrar com esse nome e qd elel for tentar logar nao consegue, pq com o replace vc trocou as " por <
aí ja nao ficaria bom pra esse caso..foi so um ex.
pra proteger sql injecton e pr aoutros casos os replaces sao com certeza muito úteis..ja pr aoutros so com o html Encode ja resolve td.
o replace sempre trata na entrada dos dados e sempre irá trocar um valor pelo digitado o q muitas vezes nao´tem um resultado satisfatorio de acordo com o caso.
ja p htmlencode, trata sempre na saída dos dados..
resolve casos como o q citei..
E todomundoquer.com,Tá, vc´s colocaram tudo isso ai, mas, como é segurança para PHP ?
se é q pra algusn casos isso ja vale p a qualquer linguagem na logica de td..mas realcionado a php em específico so no forum de php msm:
http://forum.wmonlin...p?showforum=120
t+
---------------------------------------------------------------------------
> BRdesign.NET - Soluções em Websites e Sistemas E-Commerce.
---------------------------------------------------------------------------
> BR-ecommerce - Sua loja virtual na internet! - Apenas R$99,90 mensais (hospedagem inclusa)!
#33
Posted 29/11/2004, 07:18
tipo, o dado postado pelo usuário sera sim alterado e sua integridade será corrompida, porém, se tal procedimento for executado como padrão para as manipulações/acessos ao banco, não há problema algum, visto que vc pode tranquilamente receber o valor do usuário e guarda-lo em duas variáveis distintas... uma para acesso ao banco e outra para exibição(esta sim intácta).
sacou?!
a.. testei o HTMLEncode e funfa q é uma lindura... rs...
flws...
-rwxr-xr-- 1 fmaynnard user 9666 nov 28 00:00 hell
> shutdown -h now
#34
Posted 02/12/2004, 17:02
eu uso dois tipo de session, uma para ver se ele está logado, se ele está logado vou verificar se a outra session consta no meu banco.
meu isso é muito dificl de saber uso session com letras e numeros, pode até descobrir mas vai levar muito tempo.
E quanto pegar IP acho que isso não serve pre nada, pq se o cara invadiu seu site ou foi por erro do seu código, ou então o cara invadiu o host e se for isso o cara tá enrolado pq dai o sistema fica bruto.
e tenho um formulário enorme cons uns 50 campos e mais 2 página para a pessoa se cadastrar, uso session o maximo que o cara vai saber é cpf, nome, essas coisas.
Minha opnião.
Edição feita por: Worm, 02/12/2004, 17:03.
#35
Posted 02/12/2004, 17:20
SÓ, pegar CPF? cara, o cpf é um cadastro unico para pessoas, imagina se pego seu banco com 500 cadastrados... eu tenho 500 numeros de cpf válidos... posso fazer identidades falsas... e muita coisa mais... afinal são cpf's validos... segurança com dados de cliente deve ser primordial...e tenho um formulário enorme cons uns 50 campos e mais 2 página para a pessoa se cadastrar, uso session o maximo que o cara vai saber é cpf, nome, essas coisas.
num to falando que seu site num é seguro... afinal se envolve letrar e numeros, com certeza vai ser bem dificil de se entrar....
mas dados de cadastrados tem q ser guardados a sete chaves...
e se o cara invadiu um server, pegar IP dele é primordial... vc pode chegar ate a pessoa se vc quiser... pelo numero do IP...
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto
#36
Posted 03/12/2004, 22:27
#37
Posted 07/12/2004, 10:43
blz?!
entao, nao eh bem ASP nao, mas tem a ver com seguranca...
http://www.try2hack.nl
a parada eh tentar descobrir os logins e senhas e ir "passando de fase".
enjoy!
flw!!
usuario = "kdu"
favoritos = "MySupport - Sistema de Atendimento Online"
frase = "Quem procura oque não sabe, quando encontra nao reconhece!"
%>
#38
Posted 07/12/2004, 13:56
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto
#39
Posted 08/12/2004, 15:57
Tipo, se der um erro derrepente no arquivo asp e aparecer na tela o nome do meu banco de dados ... jah eh o suficiente para apagar este banco de dados.
Tentei colar isso para evitar erros nos arquivos asp ... deh uma olhada:
<% Set Conexao = Server.CreateObject("ADODB.Connection") On Error Resume Next Err = 0 Conexao.Open "Driver={Microsoft Access Driver (*.mdb)};DBQ=" & Server.MapPath("banco.mdb") If Err <> 0 Then Response.Redirect "erro.asp" Response.End End If %>Tem jeito mais seguro ???
Outra pergunta eh quanto ao:
User-agent: *
Disallow: /pagina/
Tenho as pastas
pagina/asp/adiministracageral/usuarios/senhas
Quero broquear a pasta ASP inteira ... Tenho que por assim:
User-agent: *
Disallow: /pagina/
Disallow: /pagina/asp/
Disallow: /pagina/asp/adiministracageral/
Disallow: /pagina/asp/adiministracageral/usuarios/
Disallow: /pagina/asp/adiministracageral/usuarios/senhas/
Ou apenas assim:
User-agent: *
Disallow: /pagina/asp/adiministracageral/usuarios/senhas/
Valeu
Edição feita por: amgnatureza, 08/12/2004, 16:01.
#40
Posted 08/12/2004, 16:05
o on error resume next, só num funfa quando tem algum erro de sintaxe... mas isso num seria o caso... sua solução ao meu ver foi bem adotada...
se vc ver na primeira pagina o BOB comentou sobre usar
<meta name="robots" content="noindex,nofollow" />
porque como foi citado este dos robots.txt se alguem fuçar pode achar os caminhos facilmente... so se vc criptografar os dados do txt...
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto
#41
Posted 08/12/2004, 16:07
#42
Posted 18/12/2004, 05:58
TrauzidoComplementando... aqui foi citado por mim, sobre sessions de nomes diferentes para dificultar... dai foi citado que as sessions ficavam no server... intão to passando um tutorial que li, que mostra como passar as sessions de um server para o outro...
Materia
Mais um motivo para vc cuidar das suas sessions... hehe, ta em ingles, mas vale apena dar uma lida...
http://translate.goo...Flanguage_tools
- Guia Camaquã
- Laroya atacadista
- Emílio confecções
Ocupação: WebDeveloper avançado
Contato:
Email: gutoasp[at]gmail[dot]com
MSN: gutoasp[at]hotmail[dot]com
Trabalhando desde 1999 com websites.
Para saber mais sobre meu trabalho, sobre o que faço, e o que sei, clique aqui!
#43
Posted 21/12/2004, 23:54
se alguem já coseguiu por favor se poder me passar ou me dar alguma ajuda estou realmente precesando.
tentei fazer mais como sou novato em asp não deu certo.
estou aguardando abraço a todos desde já muito obrigado.
Atenciosamente,
Clayton.
Sistema em ASP, Hospedagem de Web Site.
Email: contato@ismweb.com.br
Site: www.ismweb.com.br
#44
Posted 21/12/2004, 23:58
crie um sistema de banner como base a um tutorial do wmonline de login certo mais o sistema está como o otavio disse que não tem nenhuma segurança, então tentei adaptar para este e não estou conseguindo.
se alguem já coseguiu por favor se poder me passar ou me dar alguma ajuda estou realmente precesando.
tentei fazer mais como sou novato em asp não deu certo.
estou aguardando abraço a todos desde já muito obrigado.
Atenciosamente,
Clayton.
Sistema em ASP, Hospedagem de Web Site.
Email: contato@ismweb.com.br
Site: www.ismweb.com.br
#45
Posted 23/12/2004, 09:21
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)