Site veilig?

Hallo,

Ik ben bezig enkele probleempjes aan het op te lossen op een website van een klant van ons. Die hebben door een andere partij een site laten maken waarin alle financiele aspecten van hun klanten in te vinden is.
Dit heeft echter wat probleempjes.

Nu zat ik eens in de source te kijken en kwam ik iets tegen waarvan ik het vage vermoede hebt dat het niet de bedoeling is dat dit te zien is.

form name="Login" method="post" action="logon.aspx?ReturnUrl=%2f" id="Login">
<div>
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwULLTIwMjkxNjE4ODVkZGZ512oD/69TOOxKXuZSBPicE71c" />
</div>

<div>

<input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" value="/wEWBAKY27uoAgKl1bK4CQK1qbSRCwKC3IeGDOSky7mRQC6YqBDkapnBg0V2bxBf" />
</div>

Ook lijkt de site niet echt SQL injection proof te zijn.
Wat houden de bovenstaande values in?

Ok, thanks.
Ik heb er geen verstand van, maar het leek mij alsof er verborgen hashes ofzo weer gegeven werden die mogelijk ge-exploit kunnen worden.
Goed om te weten dat het niet zo is

Haan schreef op woensdag 07 juli 2010 @ 09:28:
Hoe kan je problemen voor een klant oplossen als je niet eens de gebruikte techniek kent?

Het probleem aan de site dat ik nu moet oplossen ligt niet in de webdesign.
Ik doe van alles, behalve webdesgin.

Ik los het ook op in samen werking met de webdesigners.

André schreef op woensdag 07 juli 2010 @ 09:32:
[...]

Dat was ook het eerste wat ik dacht. Er liggen belangrijke gegevens open dan lijkt het me dat een specialist hier naar gaat kijken. En dat specialisme merk ik niet echt op uit jouw woorden?

Nou, ik ben een medewerker technische dienst bij het bedrijf waar ik werk. Ik doe in principe voornamelijk probleem beheer, servicedesk zegmaar.
In dit geval, heeft de klant een pakket waarbij ze in kunnen loggen op een website en zo bepaalde financiele gegevens kunnen verwerken.
Ze hebben een drop down menu waaruit ze de klant van hun kunnen kiezen, om vervolgens de gegevens op te vragen.
Bij 3 klanten krijgen ze de gegevens te zien, bij de rest verschijnen er dan in 2 frames in het midden van de site opnieuw de inlog pagina.
Volgens de webdesigner zou dat een rechten beperking zijn. Dus, dat kan ik met mijn vaardigheden wel oplossen als dit zo is.

Echter denk ik niet dat het aan een rechten beperking ligt, gezien ik zelf op alles domain admin rechten hebt en zelf ook de gegevens niet te zien krijgt, behalve dan van die 3 klanten.

Ik heb voor mijn werk dus geen diepe inhoudelijke kennis in webdesign nodig, alhoewel ik daar in September aan ga beginnen. Ik kan wel een beetje xhtml en css, maar geen php of asp.
Dingen in broncode die voor mij er apart uit zien zoek ik uit, zoals nu

[ Voor 82% gewijzigd door MueR op 07-07-2010 10:15 ]

Ik zoek niet naar problemen in de site zelf, ik keek gewoon even naar de source om te kijken of er misschien iets mis ging met de frames, verder heb ik niks in de website te zoeken. Ik ben niet op zoek naar exploits ofzo, ik zag alleen iets wat ik niet herkende en waarvan ik het idee had dat het misschien niet helemaal juist was. Daarom vroeg ik hier aan mensen wat het was, die hebben mij gezegd dat het normaal is.. Meer hoef ik niet te weten.

Het is de klant die door een externe partij een website heeft laten maken, dat niet goed functioneerd en waarvan de webdesigner beweert dat dit een probleem is met een tekort aan "rechten".
Dit moet ik dan uitzoeken.

Wat ik bedoelde met samenwerken met de webdesigners, is dat hun mij dan mogen vertellen waar er rechten zouden kunnen ontbreken.
Omdat ik zelf er van overtuigd bent dat er geen beperking is als het op rechten aan komt, keek ik gewoon eventjes in de broncode om te kijken of de frames verkeerd verversd werden o.i.d.

Ik zou het op prijs stellen als je niet zo neerbuigend doet, dat jij nu zo'n dev God bent vind ik prima. Maar ik kom hier om te vragen hoe of wat en vervoglens zit je te beweren dat wij niet weten waar we mee bezig zijn..
Dat is nou niet echt bepaald vriendelijk.

Ik ga mij ooit nog is in asp werpen hoor
Eerst maar is efkes mn w2k8 certificering halen.

Bosmonster schreef op woensdag 07 juli 2010 @ 10:40:
[...]


Ik snap er niks van.

Een webdesigner die uitspraken doet over de oorzaak van een technisch cq beveiligingsprobleem (tekort aan "rechten").

Jij moet dit serieuze probleem met betrekking tot een financiele applicatie oplossen zonder kennis van de gebruikte techniek (deze zelfs niet eens herkent, terwijl het een van de meest gebruikte technieken is voor intranet en webapplicaties).

Denk dat ze beter een professional in kunnen huren om naar hun blijkbaar bedrijfskritische app te kijken.

Wij hebben wel een ASP professional in dienst, maar die is op vakantie.
Het is nu ook niet zo dat ik het MOET doen, maar het is dringend dus ik doe gewoon mijn best om zoveel mogelijk uit te zoeken samen met de externe partij.
Als hun mij gewoon kunnen vertellen van, dit moet worden aangepast en dat moet worden aangepast dan is dit geen probleem voor mij gezien ik op de servers overal bij kan.

ps.. Ik weet wel wat ASP is en ik herken het wel.
Alleen wat ik zag op de inlog page in de source wist ik niet van wat het was dus vroeg ik daar gewoon naar.

[ Voor 7% gewijzigd door Verwijderd op 07-07-2010 11:18 ]