I forum Ricerca FAQ
Fai una domanda
Ultimo messaggio
subweb
subweb
il 24 giugno 2008 alle 07:36
175 messaggi dal 20 luglio 2002
www.subweb.it
Ciao

ho da qualche giorno degli attacchi SQL INIEJECTON su di un mio sito web con DB SQL SERVER

ho letto un po gli altri post.

Volevo sapere se potete chiarirmi alcune cose, in modo che posso aumentare il livello di protezione:

l'attacco può avvenire soltanto sulle pagine che aggiornano e non su quelle che leggono giusto?
se do :
Rs.CursorType = 0
Rs.CursorLocation = 2
Rs.LockType = 1
per connettermi alla tabella del database, in questa pagina non dovrei avere problemi??

il sito comunque è questo:
www.turismoebenessere.it
se trovate qualche possibilità di attacco..

grazie
ciao
subweb consulting
RispondiQuoting
novecento
novecento
il 24 giugno 2008 alle 09:48
2.190 messaggi dal 04 marzo 2004
Contributi | Blog
Puoi avere superfici d'attacco anche nelle pagine in lettura se queste usano come parametri per le query dati che provengono dall'esterno come maschere di ricerca o in querystring ma sempre nel caso tu non adotti le dovute validazioni.
Alessio Leoncini (WinRTItalia.com)
.NET Developer, Interactive Designer, UX Specialist, Trainer
RispondiQuoting
subweb
subweb
il 24 giugno 2008 alle 12:13
175 messaggi dal 20 luglio 2002
www.subweb.it
ciao...
potresti essere un po piu chiaro???

che cosa intendi per validazioni?

ti ringrazio molto per ogni aiuto che puoi darmi
subweb consulting
RispondiQuoting
novecento
novecento
il 24 giugno 2008 alle 12:20
2.190 messaggi dal 04 marzo 2004
Contributi | Blog
Beh, per validazione intendo la verifica che un valore sia del tipo che ti aspetti: se passi in querystring un ID esso potrà essere un intero (o un GUID) quindi potresti escludere e non ritenere validi i dati di tipo stringa che un utente malizioso potrebbe scrivere nell'URL.

Nel caso siano possibili valori di tipo stringa la logica di validazione deve controllare che i dati rispecchino una struttura magari eliminando i tag encodati passati oppure scartando quei caratteri che potrebbero interferire con le query in sql come i commenti (--) gli apici ecc..
Alessio Leoncini (WinRTItalia.com)
.NET Developer, Interactive Designer, UX Specialist, Trainer
RispondiQuoting
m.casati
m.casati
il 24 giugno 2008 alle 17:32
3.083 messaggi dal 13 giugno 2001
Contributi
mcasati.com | Blog
subweb ha scritto:
Volevo sapere se potete chiarirmi alcune cose, in modo che posso aumentare il livello di protezione


Ti consiglio di leggerti questo articolo: http://www.aspitalia.com/articoli/asp.net2/aspnet-security-2.aspx
HTH
Matteo Casati
GURU4.net
RispondiQuoting

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.