175 messaggi dal 20 luglio 2002
www.subweb.it
Ciao

ho da qualche giorno degli attacchi SQL INIEJECTON su di un mio sito web con DB SQL SERVER

ho letto un po gli altri post.

Volevo sapere se potete chiarirmi alcune cose, in modo che posso aumentare il livello di protezione:

l'attacco può avvenire soltanto sulle pagine che aggiornano e non su quelle che leggono giusto?
se do :
Rs.CursorType = 0
Rs.CursorLocation = 2
Rs.LockType = 1
per connettermi alla tabella del database, in questa pagina non dovrei avere problemi??

il sito comunque è questo:
www.turismoebenessere.it
se trovate qualche possibilità di attacco..

grazie
ciao

subweb consulting
2.190 messaggi dal 04 marzo 2004
Contributi | Blog
Puoi avere superfici d'attacco anche nelle pagine in lettura se queste usano come parametri per le query dati che provengono dall'esterno come maschere di ricerca o in querystring ma sempre nel caso tu non adotti le dovute validazioni.

Alessio Leoncini (WinRTItalia.com)
.NET Developer, Interactive Designer, UX Specialist, Trainer
175 messaggi dal 20 luglio 2002
www.subweb.it
ciao...
potresti essere un po piu chiaro???

che cosa intendi per validazioni?

ti ringrazio molto per ogni aiuto che puoi darmi

subweb consulting
2.190 messaggi dal 04 marzo 2004
Contributi | Blog
Beh, per validazione intendo la verifica che un valore sia del tipo che ti aspetti: se passi in querystring un ID esso potrà essere un intero (o un GUID) quindi potresti escludere e non ritenere validi i dati di tipo stringa che un utente malizioso potrebbe scrivere nell'URL.

Nel caso siano possibili valori di tipo stringa la logica di validazione deve controllare che i dati rispecchino una struttura magari eliminando i tag encodati passati oppure scartando quei caratteri che potrebbero interferire con le query in sql come i commenti (--) gli apici ecc..

Alessio Leoncini (WinRTItalia.com)
.NET Developer, Interactive Designer, UX Specialist, Trainer
subweb ha scritto:
Volevo sapere se potete chiarirmi alcune cose, in modo che posso aumentare il livello di protezione


Ti consiglio di leggerti questo articolo: http://www.aspitalia.com/articoli/asp.net2/aspnet-security-2.aspx
HTH

Matteo Casati
GURU4.net

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.