Bucatemi il sito

[dizionario]

Ho trovato un buco! Non in quella pagina, vabbé ma gli hacker non considerano mica solo la porta principale
Un buco nero che si è che si è inghiottito la scritta sul copyright

[Luca1317]

Originariamente inviato da dizionario
Ho trovato un buco! Non in quella pagina, vabbé ma gli hacker non considerano mica solo la porta principale
Un buco nero che si è che si è inghiottito la scritta sul copyright

mifai capire meglio?

[Luca1317]

non penso tu sia riuscito ad entrare e modificare o cancellare il database presente

[daniele_dll]

li sostituisci soltanto gli apici ... se, adesempio, dovessi inviare dei dati al che sono i codici corrispondenti e non il carattere di per se potrei far danno

non conosco access ne mssql quindi non so come li vuole inviati però, se ad esempio fosse possibile fare cosi, potrei saltare a pier pari l'unico ostacolo presente ^^

anche xche poi modificando la query usando una union si può inserire username e password, in modo che l'username venga correttamente salvato e farli accettare perché tramite la union inserisco dei dati fittizzi

[Luca1317]

Originariamente inviato da daniele_dll
li sostituisci soltanto gli apici ... se, adesempio, dovessi inviare dei dati al che sono i codici corrispondenti e non il carattere di per se potrei far danno

non conosco access ne mssql quindi non so come li vuole inviati però, se ad esempio fosse possibile fare cosi, potrei saltare a pier pari l'unico ostacolo presente ^^

anche xche poi modificando la query usando una union si può inserire username e password, in modo che l'username venga correttamente salvato e farli accettare perché tramite la union inserisco dei dati fittizzi

...mmm :master: ... potresti dare un aggiustatina veloce al codice? ricambierò il favore

codice:

<% 
'Se la sessione login è diversa da uno allora esegue la verifica 
if session("login") <> 10 then 
      
     'Richiama i valori inseriti nel form di Login.asp usando un replace per evitare errori dovuti ad apici
   	 Username =replace(request("Username"),"'","''")
     Password =replace(request("Password"),"'","''") 
   
   
      
     'Stringa SQL che seleziona l'username e la password dalla tabella del database 
     SqlVerifica = "select * from Utenti where Username = '" & Username & "' and Password = '" & Password & "'" 
     set recVerifica = ConnVerifica.execute(SqlVerifica) 
           
		
   	   
          'Se i dati sono presenti nella tabella, session("login") assume il valore di uno altrimenti viene eseguito il reindirizzamento alla pagina Login.asp 
              if not recVerifica.eof then 
               session("login") = 1317
          else 
               response.redirect "Login.asp" 
          end if 
		  
      session("login2")=Username
	  
     recVerifica.close 
     set recVerifica = nothing 
	ConnVerifica.close 
    Set ConnVerifica = nothing 
	


end if 
%>

[daniele_dll]

non uso asp da almeno 8/9 anni

però ti dico quello che puoi fare per aumentare la sicurezza ^^

allora:
1- devi verificare che ci sia un solo risultato
2- la password non ti conviene verificarla direttamente nella query bensì via codice
3- devi eliminare altri eventuali caratteri pericolosi backslashiando tipo gli apici doppi, le percentuali e cosi via
4- ad esempio siccome gli username e le password non devono contenere spazi se li contengono puoi far bloccare l'accesso
5- verificare il contenuto di username e password ... non possono contenere caratteri particolari, ma solo lettere, numeri, underscore e punti (ad esempio)

ci sono svariate possibilità

solo che ricordati che anche se fixi li comunque ci sono tanti altri punti vulnerabili che se vengono scoperti è peggio ^^

[Luca1317]

Penso possa essere di aiuto alla sicurezza anche includere un file robots.txt che esclude i motori...o sarebbe inutile?

[daniele_dll]

quello si e no

[Luca1317]

vabbè...nel dubbio lo metto lo stesso...abbondare est meglio che uan