Controllo accesso area riservata con asp

[flash20]

Ciao a tutti, recentemente ho subito un attacco all'area riservata di un mio sito, era protetto solo da password, adesso ho fatto qualche cambiamento mettendo nome utente e password e scegliendoli un po' più robusti per complicare l'hacking.
Il mio timore è che non siano le password deboli ma il mio sistema di controllo e non so come testarlo.
Brevemente io lo testo in questo modo: passo i valori user e password con un form ad una pagina asp, qui con if controllo la correttezza di user e password e in caso di non conformità rimando al form con un redirect. In caso di controllo positivo genero un codice di sessione che trasporto in tutte le pagine dell'area riservata tramite querystring ed in ogni pagina viene controllato.

Come faccio a sapere se il mio metodo è sufficiente o no? Premetto che non vi sono dati importanti, ma ovviamente un accesso indesiderato può causare problemi al sito.

Grazie

[tas]

L'hacker potrebbe aver usato la tecnica denominata "sql injection". Username e password sono scritti in un database?

[flash20]

No sulla pagina asp, è più sicuro sul db?

[tas]

Se non usi un database non corri il rischio di sql injection. Prova a postare un po' di codice e vediamo...

[flash20]

Eventualmente se usassi il database come faccio a tutelarmi dal SQL injection? (perchè in altri siti uso il db).

Comunque il codice che utilizzo è questo:

codice:

password=request.form("password")
user=request.form("user")

if not user="utente" then
response.redirect "index.html"
else
if not password="password" then
response.redirect "index.html"
else
sessione=11111
end if
end if

Poi su ogni pagina controllo in questo modo:

codice:

sessione=request.querystring("sessione")

if not sessione=11111 then
response.redirect "index.html"
end if

[tas]

Ti conviene usare l'oggetto Session (e non la querystring), in questo modo:

codice:

password=request.form("password")
user=request.form("user")

if not user="utente" then
    response.redirect "index.html"
else
    if not password="password" then
        response.redirect "index.html"
    else
        session("login") = True
    end if
end if

'nelle pagine
if not session("login") = True then
    response.redirect "index.html"
end if

[flash20]

Utilizzando una session è più sicuro? Mi sai dire per caso come tutelarmi dall'sql injection???

Grazie

[Iron83]

Ciao,

per ovviare al problema del sql injection potresti agire in questi step:

1. Creazione di una Funzione per il Replace dei caratteri non ammessi (es. <, %, >, etc.)

2. Controllo sui campi username e password nello specifico che non siano passati vuoti

3. Controllo di username e password tramite query, in modo da matchare i dati passati dall'utente con i dati realmente esistenti nel db. In parole povere se username e password non esistono restituisci un messaggio di errore. Se l'username e la password passata corrispondono allora passi alla creazione della sessione.

Per l'autenticazione utilizza SEMPRE Session, non passare mai dati sensibili nella url.

Credo che per ovviare al problema della sicurezza in generale si dovrebbe considerare anche il fatto di non permettere mai di mostrare i classici errori di codice che rivelano riga di errore e altri parametri.

Spero di esserti stato di aiuto, ovviamente se ho dimenticato o toppato qualcosa rispondete!

Credo che l'argomento interessi un pò tutti

[flash20]

Grazie per l'aiuto, provo a lavorarci su

Grazie grazie