|
|||||||
|
|
|
 |
|
|
Strumenti |
12-11-2007, 12:24
|
#1 |
|
Junior Member
Iscritto dal: Mar 2006
Messaggi: 20
|
Disperata
Salve ragazzi ho creato un sito web, in asp con pannello amministratore, e l'ho pubblicato su uno spazion web. Il problema è che qualcuno accede al siuto e l'ho modifica, mi ha cancellato molte cose, tracciando l'indirizzo IP risulta a Boston. Come è possibile se non hanno le password del pannello amministratore. Vi prego aiutatemi.
|
|
|
|
12-11-2007, 12:28
|
#2 | |
|
Senior Member
Iscritto dal: Mar 2006
Città: Bergamo
Messaggi: 2499
|
Quote:
__________________
 ho concluso con: kvegeta, doctordb, Leland Gaunt.
|
|
|
|
|
|
12-11-2007, 12:33
|
#3 |
|
Junior Member
Iscritto dal: Mar 2006
Messaggi: 20
|
no , è fatto da me.
|
|
|
|
|
12-11-2007, 12:51
|
#4 |
|
Member
Iscritto dal: Sep 2001
Città: pisa
Messaggi: 70
|
posta il codice del login amministratore, magari ti hanno hackerato
|
|
|
|
|
12-11-2007, 13:00
|
#5 |
|
Senior Member
Iscritto dal: Mar 2006
Città: Bergamo
Messaggi: 2499
|
__________________
ho concluso con: kvegeta, doctordb, Leland Gaunt.
|
|
|
|
|
12-11-2007, 13:01
|
#6 |
|
Junior Member
Iscritto dal: Mar 2006
Messaggi: 20
|
All'inizio c'è il form che prende i dati .
<% var username = new String(Request.Form("user")); var password = new String(Request.Form("pass")); Session("user")=username; Session("pass")=password; var conn = Server.CreateObject("ADODB.Connection"); conn.Open("server=*****************pwd=*****;driver=MySQL ODBC 3.51 Driver"); //istruzione sql var sql="SELECT * from Amministratore where User='"+username+"' AND Pass='"+password+"' "; //recupero recordset var recSet=conn.Execute(sql); if(!recSet.EOF) {%> Visualizzo area amministratore <%else{%> Nego l'accesso <%}%> Questa operazione la faccio in ogni pagine del pannello di amministrazione |
|
|
|
|
12-11-2007, 13:04
|
#7 |
|
Senior Member
Iscritto dal: Mar 2006
Città: Bergamo
Messaggi: 2499
|
eh si ti possono fare una semplice sql injection.
prova a loggarti con questa password: 123' OR '1'='1 e vedrai che entri. devi controllare che i valori recuperati di username e password non contengano caratteri come " ' "
__________________
ho concluso con: kvegeta, doctordb, Leland Gaunt.
|
|
|
|
|
12-11-2007, 13:05
|
#8 |
|
Junior Member
Iscritto dal: Mar 2006
Messaggi: 20
|
posso risolvere il problema in modo semplice.......
Intanto grazie per questi consigli......... |
|
|
|
|
12-11-2007, 13:09
|
#9 |
|
Junior Member
Iscritto dal: Mar 2006
Messaggi: 20
|
avevi ragione sono senza parole
|
|
|
|
|
12-11-2007, 13:10
|
#10 |
|
Junior Member
Iscritto dal: Mar 2006
Messaggi: 20
|
una volta che ho controllato questo:
che i valori recuperati di username e password non contengano caratteri come " ' " Posso stare quasi tranquilla. |
|
|
|
|
12-11-2007, 13:16
|
#11 |
|
Member
Iscritto dal: Sep 2001
Città: pisa
Messaggi: 70
|
Già già
 Vulnerabile 100% 1) disattiva il sito 2) studia le injection Poi ti dico che non si è sicuri mai al 100% Posso farti avere tanto di quel materiale su sql injection da mettersi le mani nei capelli  per iniziare controlla tutto quello che entra dai form e nascondi eventuali errori restituiti dal database. |
|
|
|
|
12-11-2007, 13:37
|
#13 | |
|
Senior Member
Iscritto dal: Mar 2006
Città: Bergamo
Messaggi: 2499
|
Quote:
http://www.aspitalia.com/script/595/...ction-ASP.aspx usa asp.
__________________
ho concluso con: kvegeta, doctordb, Leland Gaunt.
|
|
|
|
|
|
12-11-2007, 13:40
|
#14 |
|
Member
Iscritto dal: Oct 2003
Messaggi: 126
|
Mai usare stringhe concatenate.
Usa i parameters specificando il tipo, così una stringa come quella dell'esempio di vizzz non potrà essere usata per fare injection. Ciao |
|
|
|
|
13-11-2007, 09:50
|
#15 |
|
Junior Member
Iscritto dal: Mar 2006
Messaggi: 20
|
grazie mille ragazzi siete stati gentilissimi.
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 01:28.
