Jump to content


Photo

Segurança Na Internet


  • Faça o login para participar
94 replies to this topic

#31 WeeD

WeeD

    12 Horas

  • Usuários
  • 166 posts
  • Sexo:Não informado

Posted 28/11/2004, 10:49

todomundoquer.com se você não percebeu aqui é sessão ASP. :unsure:
còé ?

#32 Agente Linhares

Agente Linhares

    fuis...abraços!

  • Ex-Admins
  • 3138 posts
  • Sexo:Não informado
  • Localidade:Biritiba Mirim-SP

Posted 28/11/2004, 23:22

velho.. gostei do seu tópico... tipo soh acho q devia colocar também, soh pra terminar uma referência a filtros gerais.. não soh de SQL injection...

tipo, pra scripts em geral... uma falha bem comum em murais q pela falta da mesma, acabam ficando abertos a sacanagens e modificações...

Explico:

imagine se em seu mural (sem filtro), alguém posta uma mensagem:

<script>while(true){alert("PAM!");}</script>

Quando seu ASP for ler o banco, ele simplesmente escreverá um script para todos os usuários, fazendo com q uma mensagem fique permanentemente na tela.. agora imagine isto com janelas... seria um inferno de janelas.....

para se ter uma idéia do que estou falando.. entrem em:
www.cliquenabalada.com.br
e postem uma mensagem com script no mural....
ninguem quer isso em seu site, correto?!

pois bem... para evitar isso, coloque antes de mandar os textos pro banco ou antes de escrever, um replace, removendo o sinal de menor e maior (<,>), mais ou menos assim:

Replace (variavel, ">", "")
Replace (variavel, "<", "")


cabô... duas linhas e nenhuma preocupação... rs..

(parabéns pela promoção iporto)

flws.. (y)

Com relação a isso, o Server.HTMLEncode que foi citado no 1º post já resolveria isso.

boa... vivendo e aprendendo...
num dá tempo d testar agora, mas quando der, vo dá uma olhada...

tipo, prefiro sempre o replace pq tenho certeza do q tah rolando.

flws... (y)

o problema do replace é o seguinte:
- digamos q vc tem um campo "username" onde o user quer se cadastrar com um caractere especial po rex.:

<nomedouser>

ja era. o cara se cadastrar com esse nome e qd elel for tentar logar nao consegue, pq com o replace vc trocou as " por <

aí ja nao ficaria bom pra esse caso..foi so um ex.

pra proteger sql injecton e pr aoutros casos os replaces sao com certeza muito úteis..ja pr aoutros so com o html Encode ja resolve td.


o replace sempre trata na entrada dos dados e sempre irá trocar um valor pelo digitado o q muitas vezes nao´tem um resultado satisfatorio de acordo com o caso.

ja p htmlencode, trata sempre na saída dos dados..

resolve casos como o q citei.. (y)


Tá, vc´s colocaram tudo isso ai, mas, como é segurança para PHP ?

E todomundoquer.com,
se é q pra algusn casos isso ja vale p a qualquer linguagem na logica de td..mas realcionado a php em específico so no forum de php msm:
http://forum.wmonlin...p?showforum=120


t+
> Busca On-line - A Busca que faltava na Internet! - Cadastre-se!
---------------------------------------------------------------------------
> BRdesign.NET - Soluções em Websites e Sistemas E-Commerce.
---------------------------------------------------------------------------
> BR-ecommerce - Sua loja virtual na internet! - Apenas R$99,90 mensais (hospedagem inclusa)!

#33 Tx.NET

Tx.NET

    || ||||||| ||| ||||||||

  • Banidos
  • PipPipPipPipPipPipPip
  • 619 posts
  • Sexo:Não informado

Posted 29/11/2004, 07:18

soh uma consideração sobre o q falou dos usuários...
tipo, o dado postado pelo usuário sera sim alterado e sua integridade será corrompida, porém, se tal procedimento for executado como padrão para as manipulações/acessos ao banco, não há problema algum, visto que vc pode tranquilamente receber o valor do usuário e guarda-lo em duas variáveis distintas... uma para acesso ao banco e outra para exibição(esta sim intácta).

sacou?!

a.. testei o HTMLEncode e funfa q é uma lindura... rs...

flws... (y)
> ls -la
-rwxr-xr-- 1 fmaynnard user 9666 nov 28 00:00 hell

> shutdown -h now

#34 Worm

Worm

    Veterano

  • Ex-Admins
  • 1343 posts
  • Sexo:Masculino
  • Localidade:São Paulo - SP
  • Interesses:Obter o maximo conhecimento.

Posted 02/12/2004, 17:02

estou vendo o pessoal falar muito de session depois de logado.

eu uso dois tipo de session, uma para ver se ele está logado, se ele está logado vou verificar se a outra session consta no meu banco.

meu isso é muito dificl de saber uso session com letras e numeros, pode até descobrir mas vai levar muito tempo.

E quanto pegar IP acho que isso não serve pre nada, pq se o cara invadiu seu site ou foi por erro do seu código, ou então o cara invadiu o host e se for isso o cara tá enrolado pq dai o sistema fica bruto.

e tenho um formulário enorme cons uns 50 campos e mais 2 página para a pessoa se cadastrar, uso session o maximo que o cara vai saber é cpf, nome, essas coisas.

Minha opnião.

Edição feita por: Worm, 02/12/2004, 17:03.


#35 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 02/12/2004, 17:20

e tenho um formulário enorme cons uns 50 campos e mais 2 página para a pessoa se cadastrar, uso session o maximo que o cara vai saber é cpf, nome, essas coisas.

, pegar CPF? cara, o cpf é um cadastro unico para pessoas, imagina se pego seu banco com 500 cadastrados... eu tenho 500 numeros de cpf válidos... posso fazer identidades falsas... e muita coisa mais... afinal são cpf's validos... segurança com dados de cliente deve ser primordial...

num to falando que seu site num é seguro... afinal se envolve letrar e numeros, com certeza vai ser bem dificil de se entrar....

mas dados de cadastrados tem q ser guardados a sete chaves...

e se o cara invadiu um server, pegar IP dele é primordial... vc pode chegar ate a pessoa se vc quiser... pelo numero do IP...

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#36 Anjo-Negro

Anjo-Negro

    Novato no fórum

  • Usuários
  • 7 posts
  • Sexo:Não informado

Posted 03/12/2004, 22:27

Parabéns a vcs, desculpa estar falando o que todos dizem, mas realmente este tópico está de parabéns.

#37 kdu

kdu

    Turista

  • Usuários
  • 32 posts
  • Sexo:Não informado

Posted 07/12/2004, 10:43

falae povo!
blz?!

entao, nao eh bem ASP nao, mas tem a ver com seguranca...

http://www.try2hack.nl

a parada eh tentar descobrir os logins e senhas e ir "passando de fase".

enjoy! :P

flw!!
<%

usuario = "kdu"

favoritos = "MySupport - Sistema de Atendimento Online"

frase = "Quem procura oque não sabe, quando encontra nao reconhece!"

%>

#38 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 07/12/2004, 13:56

Eu parei no nivel 5... depois tem que baixar umas paradas para continuar.. q eu num quis...

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#39 amgnatureza

amgnatureza

    |O.o|

  • Usuários
  • 269 posts
  • Sexo:Não informado
  • Localidade:SP - interior
  • Interesses:ASP

Posted 08/12/2004, 15:57

Cara tenho uma duvida que pode parecer indiota ... mas la vai

Tipo, se der um erro derrepente no arquivo asp e aparecer na tela o nome do meu banco de dados ... jah eh o suficiente para apagar este banco de dados.

Tentei colar isso para evitar erros nos arquivos asp ... deh uma olhada:

<%

Set Conexao = Server.CreateObject("ADODB.Connection")

On Error Resume Next
Err = 0

Conexao.Open "Driver={Microsoft Access Driver (*.mdb)};DBQ=" & Server.MapPath("banco.mdb")

If Err <> 0 Then
   Response.Redirect "erro.asp"
   Response.End
End If

%>
Tem jeito mais seguro ???


Outra pergunta eh quanto ao:
User-agent: *
Disallow: /pagina/

Tenho as pastas

pagina/asp/adiministracageral/usuarios/senhas

Quero broquear a pasta ASP inteira ... Tenho que por assim:

User-agent: *
Disallow: /pagina/
Disallow: /pagina/asp/
Disallow: /pagina/asp/adiministracageral/
Disallow: /pagina/asp/adiministracageral/usuarios/
Disallow: /pagina/asp/adiministracageral/usuarios/senhas/

Ou apenas assim:

User-agent: *
Disallow: /pagina/asp/adiministracageral/usuarios/senhas/


Valeu

Edição feita por: amgnatureza, 08/12/2004, 16:01.


#40 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 08/12/2004, 16:05

Creio que assim já esteja bom... afinal com o on error resume next ele vai seguir o codigo mesmo que ele tenha algum problema com a conexão com o DB... assim não mostrando o caminho do Seu BD...

o on error resume next, só num funfa quando tem algum erro de sintaxe... mas isso num seria o caso... sua solução ao meu ver foi bem adotada...


se vc ver na primeira pagina o BOB comentou sobre usar

<meta name="robots" content="noindex,nofollow" />


porque como foi citado este dos robots.txt se alguem fuçar pode achar os caminhos facilmente... so se vc criptografar os dados do txt...

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#41 amgnatureza

amgnatureza

    |O.o|

  • Usuários
  • 269 posts
  • Sexo:Não informado
  • Localidade:SP - interior
  • Interesses:ASP

Posted 08/12/2004, 16:07

E quanto aos User-agent* ... qual a melhor maneira ???

#42 [webmaster]®

[webmaster]®

    Hobby por criar funções genérica, semânticas e otimizadas

  • Usuários
  • 310 posts
  • Sexo:Não informado
  • Localidade:Canoas - RS
  • Interesses:ASP<br>CSS<br>JavaScript - DOM - ECMASCRIPT - JSCRIPT<br>XHTML<br>HTML<br>DHTML, AJAX, JSON, TABLELESS<br>ACESS<br>MYSQL<br>SQL SERVER<br><br>SEO, WEBSTANDARDS, ACESSIBILIDADE, USABILIDADE, AI

Posted 18/12/2004, 05:58

Complementando... aqui foi citado por mim, sobre sessions de nomes diferentes para dificultar... dai foi citado que as sessions ficavam no server... intão to passando um tutorial que li, que mostra como passar as sessions de um server para o outro...

Materia

Mais um motivo para vc cuidar das suas sessions... hehe, ta em ingles, mas vale apena dar uma lida...

;) (y)

Trauzido

http://translate.goo...Flanguage_tools
Meus sites:
- Guia Camaquã
- Laroya atacadista
- Emílio confecções

Ocupação: WebDeveloper avançado

Contato:
Email: gutoasp[at]gmail[dot]com
MSN: gutoasp[at]hotmail[dot]com
Trabalhando desde 1999 com websites.

Para saber mais sobre meu trabalho, sobre o que faço, e o que sei, clique aqui!

#43 clayton-mer

clayton-mer

    12 Horas

  • Usuários
  • 140 posts
  • Sexo:Não informado

Posted 21/12/2004, 23:54

olá turma pelo entrando o parte de tutorial encontrei um sistema de login certo mais o sistema está como o otavio disse que não tem nenhuma segurança, então tentei adapitar para este e não estou conseguindo.

se alguem já coseguiu por favor se poder me passar ou me dar alguma ajuda estou realmente precesando.

tentei fazer mais como sou novato em asp não deu certo.

estou aguardando abraço a todos desde já muito obrigado.

Atenciosamente,

Clayton.
Clayton E. Mergulhão
Sistema em ASP, Hospedagem de Web Site.
Email: contato@ismweb.com.br
Site: www.ismweb.com.br

#44 clayton-mer

clayton-mer

    12 Horas

  • Usuários
  • 140 posts
  • Sexo:Não informado

Posted 21/12/2004, 23:58

olá turma
crie um sistema de banner como base a um tutorial do wmonline de login certo mais o sistema está como o otavio disse que não tem nenhuma segurança, então tentei adaptar para este e não estou conseguindo.

se alguem já coseguiu por favor se poder me passar ou me dar alguma ajuda estou realmente precesando.

tentei fazer mais como sou novato em asp não deu certo.

estou aguardando abraço a todos desde já muito obrigado.

Atenciosamente,

Clayton.
Clayton E. Mergulhão
Sistema em ASP, Hospedagem de Web Site.
Email: contato@ismweb.com.br
Site: www.ismweb.com.br

#45 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 23/12/2004, 09:21

Duvidas por favor, poste na sala, este tópico é para falar sobre segurança e não para adaptar script's prontos.

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto




0 user(s) are reading this topic

0 membro(s), 0 visitante(s) e 0 membros anônimo(s)

IPB Skin By Virteq