mi sono entrati nell'area riservata del sito :-(

[simofe78]

salve a tutti,
dunque ho ricevuto un simpatica mail da iun tizio ke sostiene (a ragione) di essere riuscito ad accedere al mio sito (basato su sql server e asp) sfruttando alcuni bug presenti e nn corretti da me con le opportune patch..

ho provato e in effetti ha ragione lui purtroppo, ho notato ke mettendo come nome utente e passwrd la stringa HI' OR 1=1-- lui accede all'area riservata con un utente del sito ke in realtà ha un altro nome utente ed una passwd completamente diversa...

ammesso ke adesso sto provvedendo a tutti gli aggiornamenti del caso (prima scappano i buoi poi chiudo il cancello direte voi..) mi sapete dire come mai accade questo..

grazie a tutti!!

[makuro]

Cerca su google la stringa "sql injection" e vedrai che troverai tutte le risposta che cerchi..

[spam]
Se vuoi, trovi un ottimo paper sul sito di billiejoex, un utente del forum...Guarda la sua firma per l'indirizzo
[/spam]

[simofe78]

grazie ci guarderò subito.

ciao

[ZeroCool981]

la tua pagina di login è in asp?

cmq per risolvere il problema basta che fai un replace del carattere ' con il carattere " .

in pratica l'sql injection ha modo di esistere solo se inizia con l'apice singolo che non fa altro che interrompere la stringa di interrogazione e con codice maligno (1=1) renderla true.

fai il replace e sei a posto.

[SuperMariano81]

Tempo fa c'era un bell'articolo in siurezza.html io dopo il login.asp redirigo l'utente in login_control dove eseguo i controlli del caso (elimino "'", parole singole tipo "OR", "AND", "LIKE") domani ti posto un po di codice...



PS: Mi hanno aiutato molto anche nel forum ASP.