Salve ragazzi ho creato un sito web, in asp con pannello amministratore, e l'ho pubblicato su uno spazion web. Il problema è che qualcuno accede al siuto e l'ho modifica, mi ha cancellato molte cose, tracciando l'indirizzo IP risulta a Boston. Come è possibile se non hanno le password del pannello amministratore. Vi prego aiutatemi.

Salve ragazzi ho creato un sito web, in asp con pannello amministratore, e l'ho pubblicato su uno spazion web. Il problema è che qualcuno accede al siuto e l'ho modifica, mi ha cancellato molte cose, tracciando l'indirizzo IP risulta a Boston. Come è possibile se non hanno le password del pannello amministratore. Vi prego aiutatemi.

ma il sito è fatto da te o stai usando un cms o qualcosa del genere?

no , è fatto da me.

posta il codice del login amministratore, magari ti hanno hackerato :muro:

sento puzza di sql injection...

http://it.wikipedia.org/wiki/SQL_injection

All'inizio c'è il form che prende i dati .


<%

var username = new String(Request.Form("user"));
var password = new String(Request.Form("pass"));

Session("user")=username;
Session("pass")=password;

var conn = Server.CreateObject("ADODB.Connection");
conn.Open("server=*****************pwd=*****;driver=MySQL ODBC 3.51 Driver");

//istruzione sql
var sql="SELECT * from Amministratore where User='"+username+"' AND Pass='"+password+"' ";



//recupero recordset
var recSet=conn.Execute(sql);
if(!recSet.EOF) {%>

Visualizzo area amministratore
<%else{%>
Nego l'accesso
<%}%>



Questa operazione la faccio in ogni pagine del pannello di amministrazione

eh si ti possono fare una semplice sql injection.
prova a loggarti con questa password: 123' OR '1'='1
e vedrai che entri.
devi controllare che i valori recuperati di username e password non contengano caratteri come " ' "

posso risolvere il problema in modo semplice.......
Intanto grazie per questi consigli.........

avevi ragione sono senza parole

una volta che ho controllato questo:
che i valori recuperati di username e password non contengano caratteri come " ' "
Posso stare quasi tranquilla.

Già già :cool:
Vulnerabile 100%

1) disattiva il sito
2) studia le injection

Poi ti dico che non si è sicuri mai al 100%
Posso farti avere tanto di quel materiale su sql injection da mettersi le mani nei capelli :D

per iniziare controlla tutto quello che entra dai form e nascondi eventuali errori restituiti dal database.

guarda questo (http://blacklight.gotdns.org/tutorial/phpacaro.pdf) articolo...

guarda questo (http://blacklight.gotdns.org/tutorial/phpacaro.pdf) articolo...

forse è più indicato questo:
http://www.aspitalia.com/script/595/Proteggersi-Attacchi-SQL-Code-Injection-ASP.aspx

usa asp.

Mai usare stringhe concatenate.

Usa i parameters specificando il tipo, così una stringa come quella dell'esempio di vizzz non potrà essere usata per fare injection.

Ciao

grazie mille ragazzi siete stati gentilissimi.