Toon posts:

[ASP] Website gehackt (tot 2x toe)

Pagina: 1
Acties:
  • 35 views sinds 30-01-2008

zondag 4 september 2005 13:20

Acties:
  • daanmsvl
  • Registratie: Juli 2005
  • Laatst online: 17-06-2021

daanmsvl

Daan

Topicstarter
Ik draai een website met ASP en laad daarbij een database voor de info. Die database is tot 2x toe gehackt, mensen kunnen blijkbaar er extra records invoegen met HTML code die dan vervolgens naar een of andere sex site verwijst. Heel vervelend dus.

Ik denk dat mijn fout is dat ik de database de zelfde naam heb gegevens als de website. Stel bv dat het om de microsoft website gaat, dan heet mijn database microsoft.mdb

Maar wellicht zijn er andere dingen die ik over het hoofd zie. Met andere woorden: Hoe houd ik mijn website hack-vrij??? :?

"Military intelligence is a contradiction in terms." - Groucho Marx, American Comedian, Actor and Singer, 1890-1977

zondag 4 september 2005 13:27

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 27-04 18:17

gorgi_19

Kruimeltjes zijn weer op :9

Door je code te controleren op SQL Injection en XSS-attacks (Cross site Scripting Attacks)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 4 september 2005 13:28

Acties:
  • daanmsvl
  • Registratie: Juli 2005
  • Laatst online: 17-06-2021

daanmsvl

Daan

Topicstarter
Vrees dat beide termen mij niks zeggen...

"Military intelligence is a contradiction in terms." - Groucho Marx, American Comedian, Actor and Singer, 1890-1977

zondag 4 september 2005 13:28

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 27-04 18:17

gorgi_19

Kruimeltjes zijn weer op :9

daanmsvl schreef op zondag 04 september 2005 @ 13:28:
Vrees dat beide termen mij niks zeggen...
Dan gooi je beide termen in Google, of je huurt iemand in.

[ Voor 6% gewijzigd door gorgi_19 op 04-09-2005 13:29 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 4 september 2005 13:32

Acties:
  • markvt
  • Registratie: Maart 2001
  • Laatst online: 12:29

markvt

Peppi Cola

kan iemand zoeken of accepteer je input voor je sql query waar bijvoorbeeld dit mogelijk is :

default.asp?pagina=1

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

zondag 4 september 2005 13:32

Acties:
  • daanmsvl
  • Registratie: Juli 2005
  • Laatst online: 17-06-2021

daanmsvl

Daan

Topicstarter
Ben ik inmiddels druk mee bezig dank voor de tip

"Military intelligence is a contradiction in terms." - Groucho Marx, American Comedian, Actor and Singer, 1890-1977

zondag 4 september 2005 13:33

Acties:
  • daanmsvl
  • Registratie: Juli 2005
  • Laatst online: 17-06-2021

daanmsvl

Daan

Topicstarter
markvt schreef op zondag 04 september 2005 @ 13:32:
kan iemand zoeken of accepteer je input voor je sql query waar bijvoorbeeld dit mogelijk is :

default.asp?pagina=1
Ja bijvoorbeeld

viewtext.asp?Textlabel=3
of
viewnews.asp?NewsID=5

"Military intelligence is a contradiction in terms." - Groucho Marx, American Comedian, Actor and Singer, 1890-1977

zondag 4 september 2005 13:33

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 27-04 18:17

gorgi_19

Kruimeltjes zijn weer op :9

Tip: Maak er eens viewnews.asp?NewsID=5' van (met die single quote), bekijk de foutmelding. Zal ik de Delete-statements bakken of wil je ze zelf bedenken? :+

en sowieso, als je gehacked bent..... Controleer je logbestanden!

[ Voor 28% gewijzigd door gorgi_19 op 04-09-2005 13:34 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 4 september 2005 13:34

Acties:
  • markvt
  • Registratie: Maart 2001
  • Laatst online: 12:29

markvt

Peppi Cola

Dan kan het zijn dat de inputwaarde die daar meegegeven word niet gecontroleerd wordt, en dat daardoor een SQL injectie kan gebeuren.

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

zondag 4 september 2005 13:41

Acties:
  • daanmsvl
  • Registratie: Juli 2005
  • Laatst online: 17-06-2021

daanmsvl

Daan

Topicstarter
markvt schreef op zondag 04 september 2005 @ 13:34:
Dan kan het zijn dat de inputwaarde die daar meegegeven word niet gecontroleerd wordt, en dat daardoor een SQL injectie kan gebeuren.
Hmm dus ik zou iets moeten toevoegen:
code:
1
2

  strNewsID = request("NewsID")
  strNewsID = replace(strNewsID, "'", "")

???

Dat zou dus enige bescherming bieden als ik je goed begrijp??

"Military intelligence is a contradiction in terms." - Groucho Marx, American Comedian, Actor and Singer, 1890-1977

zondag 4 september 2005 13:41

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 27-04 18:17

gorgi_19

Kruimeltjes zijn weer op :9

Beste is om Request.Querystring te gebruiken ipv Request en Parametrized Queries (Nieuwe googleterm :+)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 4 september 2005 14:03

Acties:
  • Willem
  • Registratie: Februari 2001
  • Laatst online: 10:40

Willem

Hiermee moet je er wel uitkomen:
gorgi_19:
Door je code te controleren op SQL Injection en XSS-attacks (Cross site Scripting Attacks)
Neemt niet weg dat dit topic niet in W&G thuishoort, maar het was in Programming & Webscripting ook op slot gegaan. :)

Motor onderhoud bijhouden

Pagina: 1

Dit topic is gesloten.