protezione form di login funzione instr

[jonnyl]

Ho utilizzato una blacklist di parole postata da un utente per fargli fare un controllo sul form di login, qualcosa non va nel ciclo, qualcuno mi aiuta plz?

Adesso qualsiasi cosa io scriva dentro il form di login mi ridireziona alla pagina del form come se fosse sempre errato....ma perche?

codice:

<% Dim user, password, BlackList(32)  
BlackList(32) = Array("/*", "*/", "@@", "declare", "delete", "drop", "exec", "execute", "fetch", "insert", "kill", "open", "select", "sys", "sysobjects", "syscolumns", "table", "update", "script", "xp", "555044415445", "757064617465", "736372697074", "534352495054", "65786563", "45584543", "696E73657274", "494E53455254", "64656C657465", "44454C455445", "varchar") 

user = Request.Form("user") 
password = Request.Form("password")  

If (InStr(user, UCase(BlackList(i))) <> 0 Or InStr(password, UCase(BlackList(i))) <> 0) Then
 response.redirect ("administer/index.htm") else     
Set RSlogin = connect.Execute("Select * From Login Where user = '"&user&"' And password = '"&password&"'") 
If Not RSlogin.EOF Then Session("inne") = True 
end if 
if Session("inne") = True then %>

l'ultima parte del codice in login_footer.asp contiene:

codice:

<% else 
response.Redirect("administer/index.htm") 
end if   %>

Perfavore qualcuno mi aiuti

[Mizushi]

Stampati a video le variabili stoppando ad hoc l'esecuzione del codice, fai debug e troverai il problema...

[Santino83_02]

mah guarda, è tutto sbagliato direi

codice:

dim user, password, blacklist
blacklist=array(...)

user = request.Form..
password = request.form..

for each blk in blacklist

if instr(user,blk)<>0 or instr(password,blk)<> then

response.redirect ..

end if

next

set rs = conn.execute("select .. ")

if not rs.eof then

'loggo utente

else

response.redirect ("utente_errato")

end if

[dizionario]

è solo dannosa quella blacklist perché ti da l'impressione di una sicurezza che invece non ti garantisce per nulla,
e non ti fa loggare utenti come killthebill, pinoxp

piuttosto fai un replace degli apici

[jonnyl]

allora ho scritto questo :

codice:

<% Dim user, password, BlackList(32)

BlackList(32) = Array("/*", "*/", "@@", "declare", "delete", "drop", "exec", "execute", "fetch", "insert", "kill", "open", "select", "sys", "sysobjects", "syscolumns", "table", "update", "script", "xp", "555044415445", "757064617465", "736372697074", "534352495054", "65786563", "45584543", "696E73657274", "494E53455254", "64656C657465", "44454C455445", "varchar", "'")
user = Request.Form("user")
password = Request.Form("password")

for each x in Blacklist(32)
If (InStr(user, x) <> 0 Or InStr(password, x) <> 0) Then
response.redirect ("/")
end if

next

Set RSlogin = connect.Execute("Select * From Login Where user = '"&user&"' And password = '"&password&"'")

If Not RSlogin.EOF Then
Session("inne") = True
end if
if Session("inne") = True then %>

funziona!!! ma esegue il login anche se non inserisco la password, con la user esatta.

[jonnyl]

FUNZIONA!!!! grazie

[dizionario]

ALTER PROC ...
DENY ALL TO ...
REVOKE ...
SHUTDOWN
eccetera

la lista sarebbe ben più lunga, ma non si risolve così la sql injection

:rollo:

[Roby140569]

Suggerisco di usare la funzione "cerca" del forum con la chiave di ricerca: sql injection.

Se ne è parlato molto.

[jonnyl]

Ma pork!!! Ora che funziona non va bene T_T

posso usare questa ?
sql inj

con questa risolvo qualcosa?

[jonnyl]

allora ho usato quel replace che mi sembra ottimo

Function FixSQL(stringa)
stringa = Replace(stringa, "'", "''")
stringa = Replace(stringa, "%", "[%]")
stringa = Replace(stringa, "[", "[[]")
stringa = Replace(stringa, "]", "[]]")
stringa = Replace(stringa, "_", "[_]")
stringa = Replace(stringa, "#", "[#]")
FixSQL = stringa
End function


adesso su ogni input box che voglio proteggere aggiungo la fixsql è funziona perfettamente, sono anche in grado di registrare chi ha scritto cosa, e salvare anche l'ip sul DB.

grazie a tutti per l'aiuto, adesso vado a cimentarmi con la funzione di ricerca