Un "amico" che si diverte a fare l'hackerino sul mio forum...

[Nospheratu]

Dimenticavo, in relazione al punto 2 aggiungo che la password di access non serve a un tubo

[IcEMaN666]

Quote:

Originariamente inviato da Nospheratu
eccomi

scusa il ritardo, ho letto solo ora

1) Tanto per cominciare, ti sarai reso conto che il forum che hai scritto (in ogni caso se l'hai fatto per passatempo, complimenti) è un colabrodo per le sql injections

Di trucchi ti questo tipo ce ne sono tanti, e in sintesi temo che col tuo forum siano possibili pressocché tutti se non metti almeno i filtri essenziali

esempio, pagina 'autentica.asp' (giusto una a caso...), riga 17:
i parametri passati alla query non sono controllati in alcun modo, sicché a quanto pare anche col semplice apice, carattere delimitatore del tipo stringa nell'sql, è possibile effettuare login con username a caso oppure eseguire comandi inattesi sul database (tipo cancellazioni, update, drop di tabelle ), oltre che ad avere informazioni sul database ecc.

E' il classico errore in cui incappano tutti coloro i quali si cimentano con le prime cosette con pagine server...

considera che devi filtrare QUALSIASI parametro che vada poi inserito in una query costruita come stringa.
Per qualsiasi, intendo tutti i parametri passati alla procedura Asp sia via POST (cioé i normali forum) sia via GET, spesso trascurati sotto questo punto di vista (per parametri Get intendo quelli passati attraverso l'url della pagina nella barra dell'indirizzo, dopo il ?, cioé nella Request.QueryString).

Ovunque ci siano parametri non filtrati nelle tue pagine, è possibile far casini

2) e poi c'é che devi mettere il db in una cartella che non abbia i permessi di lettura via http (con possibilità di accesso solo via script), non pubblica, altrimenti chiunque se lo può scaricare e fare login con i vari account.

3) asphost lo cambierei in due secondi, se vuoi ti spiego live online perché, come feci con porny

conosci un sitarello asp che offra funzionalità server, ftp, access e cose varie gratis migliore di questo? l'avevo trovato ma ho perso il sito

[Nospheratu]

Quote:

Originariamente inviato da IcEMaN666
conosci un sitarello asp che offra funzionalità server, ftp, access e cose varie gratis migliore di questo? l'avevo trovato ma ho perso il sito

Gratuito? Non saprei, è da qualche anno ormai che gestisco una rete di server aziendali, e quindi ne usufruisco

[lnessuno]

Quote:

Originariamente inviato da Nospheratu
Dimenticavo, in relazione al punto 2 aggiungo che la password di access non serve a un tubo

quoto questo perchè è più breve


quindi devo filtrare le query? lo faccio volentieri, devo solo capire cosa intendi (me lo puoi spiegare via pvt o icq o quellochevuoi? la cosa mi interessa particolarmente visto che sono vulnerabile ad una cosa che nemmeno conosco )

per il resto... proteggere una directory su 1asphost non so nemmeno se sia possibile (useranno win98 come web server ), lo cambierei volentieri come hoster comunque, ma non so cosa prendere non ho trovato nulla di gratuito.. una volta c'era freeasphost, poi ha chiuso i battenti e non mi ha lasciato nemmeno riprendere la roba che avevo online


in ogni caso grazie della consulenza

[lnessuno]

nos ho corretto un pò l'autentica.asp, come ti sembra ora?

[Thunderman]

Quote:

Originariamente inviato da lnessuno
nos ho corretto un pò l'autentica.asp, come ti sembra ora?

Fa cagare è pieno di buchi!

[lnessuno]

Quote:

Originariamente inviato da Thunderman
Fa cagare è pieno di buchi!

sta buono che l'unico buco che conosci te è quello delle ciambelle

[Python]

nos visto che mi sembra che te ne intendi, che te ne sembra di questo forum che feci io qualche anno fa?

(sempre se hai tempo/voglia di vederlo ovviamente)

non ho un host quindi ti do direttamente il codice

http://neos.altervista.org/athlon_forums_171b.zip

[Thunderman]

Quote:

Originariamente inviato da lnessuno
sta buono che l'unico buco che conosci te è quello delle ciambelle

[Nospheratu]

Quote:

Originariamente inviato da lnessuno
quoto questo perchè è più breve


quindi devo filtrare le query? lo faccio volentieri, devo solo capire cosa intendi (me lo puoi spiegare via pvt o icq o quellochevuoi? la cosa mi interessa particolarmente visto che sono vulnerabile ad una cosa che nemmeno conosco )

per il resto... proteggere una directory su 1asphost non so nemmeno se sia possibile (useranno win98 come web server ), lo cambierei volentieri come hoster comunque, ma non so cosa prendere non ho trovato nulla di gratuito.. una volta c'era freeasphost, poi ha chiuso i battenti e non mi ha lasciato nemmeno riprendere la roba che avevo online


in ogni caso grazie della consulenza

ricordamelo quando mi rivedi nel forum, adesso mi trovo di passaggio da un amico

per il discorso dell'hosting, non puoi farci nulla dal momento che non puoi mettere mano sui webserve

sinteticamente: gli hosting gratuiti con supporto scripting server-side fanno tutti, indistintamente, cagare

ma, scusa: perché non ti fai un pc qualunque, ci metti su win2k, lo attacchi all'adsl (sempre se è buona), gli metti un 286 con una distro linux da floppy che faccia da firewall, blindi come si deve win2k...e ci metti su la tua applicazione asp con quel cavolo che ti pare?
anche se non hai ip statico che ti frega, puoi usufruire di un servizio di quelli gratuiti per dns dinamici, oppure ci metti un router che lo fa automaticamente.

[Nospheratu]

Quote:

Originariamente inviato da lnessuno
nos ho corretto un pò l'autentica.asp, come ti sembra ora?

Vabbeh, dai, te le tiri....

[Nospheratu]

Quote:

Originariamente inviato da Python
nos visto che mi sembra che te ne intendi, che te ne sembra di questo forum che feci io qualche anno fa?

(sempre se hai tempo/voglia di vederlo ovviamente)

non ho un host quindi ti do direttamente il codice

http://neos.altervista.org/athlon_forums_171b.zip

quando sono a casa e ho qualche minuto gli dò un'occhiata

[lnessuno]

Quote:

Originariamente inviato da Nospheratu
Vabbeh, dai, te le tiri....

fa ancora cagare?

gli ho messo aposto gli apici, eliminato la psosibilità di mettere tag html ( ), tolto gli spazi... di più, non saprei cosa fare

[Nospheratu]

Passo successivo, prima di toccare il codice: cambia hoster

Scusa ma al limite prenditi uno spazio su aruba.....costa un'insalata annualmente e ha già cartelle pubbliche e non. (sempre per il db)

[Hattori Hanzo]

Quote:

Originariamente inviato da -kurgan-

....


la madre dei rompicoglioni è sempre incinta

Bellisssssima!

[Frank1962]

Quote:

Originariamente inviato da lnessuno
c'è uno che si diverte a cercare di rompermi il database del forum che ho fatto così a tempo perso, per tenere più che altro in contatto i compagni della mia ormai ex classe di programmatori.

il forum non ha nessuna sicurezza, non avevo nemmeno protetto con password il database perchè fondamentalmente non mi interessava, però ora la situazione inizia a farmi girare proprio i coglioni, è la seconda volta che entra e mi cambia le password degli utenti. non ho proprio voglia di mettermi a studiare protezioni strane, piuttosto lascio perdere quel forum e se ci vogliamo mettere d'accordo o sentirci per qualcosa facciamo per telefono.


cosa fareste voi al posto mio?

...cmq complimenti per il forum, veramente ben fatto

[lnessuno]

Quote:

Originariamente inviato da Frank1962
...cmq complimenti per il forum, veramente ben fatto

grazie


a questo punto sto meditando se prendere davvero uno spazio su aruba... non mi serve un gran che, ma tanto costa davvero poco... guardavo i prezzi e sono decisamente abbordabili

però nos, se hai voglia di smanettare e trovi qualcosa nel codice dimmelo che mi fa piacere sapere queste cose

[Nospheratu]

Quote:

Originariamente inviato da lnessuno
grazie


a questo punto sto meditando se prendere davvero uno spazio su aruba... non mi serve un gran che, ma tanto costa davvero poco... guardavo i prezzi e sono decisamente abbordabili

però nos, se hai voglia di smanettare e trovi qualcosa nel codice dimmelo che mi fa piacere sapere queste cose

Tenendo conto che sei alle prime armi con lo sviluppo web, è inutile darti una lista

Comincia a prendere uno spazio web da pochi soldi per far qualcosa di più decente che con uno gratuito, e aspetta con trepidante ansia l'uscita della mia rivista internet dedicata allo sviluppo web /sicurezza

[lnessuno]

Quote:

Originariamente inviato da Nospheratu
Tenendo conto che sei alle prime armi con lo sviluppo web, è inutile darti una lista

Comincia a prendere uno spazio web da pochi soldi per far qualcosa di più decente che con uno gratuito, e aspetta con trepidante ansia l'uscita della mia rivista internet dedicata allo sviluppo web /sicurezza

uff non è giusto, prima mi incuriosisci e poi ti tiri indietro... infame

ma è così insicuro? ma che razzo ci hanno insegnato al corso? argh!


cmq per la tua rivista sto già sbavando... di sicurezza non so proprio nulla, giusto quello che ci hanno insegnato a scuola... ma è quasi niente visto che era un corso in cui si imparava da zero a programmare, la sicurezza è passata in secondo piano

hai un sito di riferimento?

[khri81]

prima di denunciarlo fatti sentire di persona, ricorda le denuncie molto spesso segnano x sempre la vita a chi si becca la denuncia, io odio le denuncie sono molto più a favore di risolverre la questioni tra i diretti interessati e basta. ovvio che se poi continua denuncialo pure, significa che oltre che rompi cazzo e pure una testa di cazzo!