Toon posts:

[ASP] Beveiliging website zo afdoende of mandje?

Pagina: 1
Acties:
  • 76 views sinds 30-01-2008

vrijdag 21 december 2001 23:04

Acties:

Verwijderd

Topicstarter
Beste mensen,

Ik ben vandaag eens bezig geweest met het maken van een afgeschermd gedeelte op mijn website. Aangezien ik alleen maar het idee heb dat ik het zo redelijk veilig gedaan heb, wil ik graag uitleggen wat ik gedaan heb aan experts... (de hulp van 4guysfromrola.com heb ik al gehad. geweldige site.)

Here's the situation:

Webserver W2k (lokaal) IIS

-Login database met een dsn niet in de root van de site
Velden: ID usernaam Password Sessie userlevel enz.

Het inloggen:
-Er wordt dmv een dsn verbinding gecontroleerd of het ingevoerde wachtwoord en username gelijk is aan het database wachtwoord.
-Indien dit OK is wordt:
a)een session aangemaakt met een de username
b)een random 250 posities tellend "SessieID" gemaakt en bijgewerkt in de database geschreven. dit veld wordt dus telekens geupdatet met de laatste sessiID.
c)van dit sessieID wordt ook een session gemaakt
d) een session van de userlevel waarmee ik per pagina aangeef welke rechten iemand heeft

*** Tot zover de aanmelding :+

vervolgens wordt op elke "beveiligde" pagina de gegevens uit de database vergeleken met de sesion gegevens.

**
aangezien ik niet echt een expert ben op het gebied van beveiliging is mijn vraag: is dit een beetje veilig of moet er echt iets veranderen...

p.s. het aantal hits is ca. 30 per dag, dus de het geheugengebruik voor de sesions lijkt mij wel ok..


thanx alvast :)

zaterdag 22 december 2001 00:36

Acties:

Verwijderd

Topicstarter
ik kan de source wel posten als het nog onduidelijk is :?

zaterdag 22 december 2001 00:41

Acties:
  • ikke_
  • Registratie: Juni 1999
  • Laatst online: 13-05 10:18

ikke_

Ik zou het verder ook niet weten, het enige wat ik je kan vertellen is dat als de DB alleen door die webserver benadert wordt deze als enige inlog rechten geven en alle andere ip-nummers te blokken om te connecten met DB...

zaterdag 22 december 2001 00:47

Acties:

Verwijderd

Topicstarter
Over het beveiligen van die DB gesproken. Ik heb geprobeerd om een database wachtwoord in te stellen in access. als ik dit doe, en ik stel in de dsn de username / pass combi in , kan ie niet meer connecten :'( Weet iemand hoe je die access database kan beveiligen??

zaterdag 22 december 2001 03:47

Acties:
  • raptorix
  • Registratie: Februari 2000
  • Laatst online: 17-02-2022

raptorix

Aan die beveiliging van de access db niet kutten, wat je nu gedaan hebt is op zich voldoende als je met access wilt werken, eventueel kan je gevoelige data nog versleutelen.

zaterdag 22 december 2001 10:09

Acties:

Verwijderd

Topicstarter
is een systeem - dsn wel veilig genoeg? zijn er geen manieren om de dsn te gebruiken?

Ik bedoel: de dsn wordt nu gestuurd vanuit mijn asp - script, met de nodige verificatie, en daar kan in principe niemand bij. Kan iemand niet een eigen asp script schrijven en mijn dsn daarin gebruiken, welke hij ergens anders draait? -paranoia- het is wel een systeem-dsn maar je weet maar nooit! :?

zaterdag 22 december 2001 16:17

Acties:

Verwijderd

nee dat kan niet, als je paranoid ben kun je een include gebruiken om je db aan te spreken (NOOIT op .inc laten eindigen) en die buiten de root van je webdir plaatsen.

www,4guysfromrolla.com heeft een goed artikel over beveiliging do's en don'ts

zaterdag 22 december 2001 22:32

Acties:

Verwijderd

DasFrank,
Ik neem aan dat je nu ergens een formpje hebt waar de gebruiker een username en password moet inkloppen. Als je echt belangrijke dingen beveiligd zou je dat stukje site moeten afschermen met SSL, zodat alle gegevens gecodeerd over de lijn gaan. Als je dat niet doet is voor ervaren hackers vrij eenvoudig de lijn te sniffen en wachtwoorden te achterhalen. (Die moeite nemen ze overigens pas als er echt iets te halen is...)

Overigens moeten je wel zorgen dat je alle updates van microsoft in de gaten houdt er zijn nog al veel beveiligingslekken voor IIS geweest en wellicht komen er nog veel meer.

vrijdag 28 december 2001 17:34

Acties:

Verwijderd

Topicstarter
Eyebite, waarom nooit op .inc laten eindigen? In het boek ASP in een notendop wordt dit juist wel geadviseerd?!?!

vrijdag 28 december 2001 17:42

Acties:

Verwijderd

Op vrijdag 28 december 2001 17:34 schreef DasFrank het volgende:
Eyebite, waarom nooit op .inc laten eindigen? In het boek ASP in een notendop wordt dit juist wel geadviseerd?!?!
Als je de naam van die .inc file weet, kun je de bron-code opvragen (omdat het niet op .asp eindigd wordt de asp niet verwerkt.

Ik adviseer altijd om een bestand .inc.asp te noemen. Het is dan een asp bestand, wordt door asp.dll verwerkt, maar je kunt het bestand als programmeur wel als een include herkennen.

vrijdag 28 december 2001 18:03

Acties:
  • xtra
  • Registratie: November 2001
  • Laatst online: 19-11-2025

xtra

Zelf heb ik een vergelijkbaar systeem gemaakt. Ik heb ook nog de wachtwoorden met MD5 gecodeerd. Als iemand toch de database te pakken krijgt zijn de wachtwoorden in ieder geval niet makkelijk te achterhalen.

Include bestanden heb ik allemaal met asp als extensie in een mapje 'inc' staan. Buiten de root zodat je er niet makkelijk bij kunt. (Totdat ze mijn ftp-wachtwoord te pakken krijgen :))

maandag 26 juli 2004 14:13

Acties:

Verwijderd

Ben ook al druk bezig met de hulp van 4guysfromrola.com,
maar ik kom niet verder als een domme http 500 fout :(

maandag 26 juli 2004 14:14

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 15:50

gorgi_19

Kruimeltjes zijn weer op :9

Verwijderd schreef op 26 juli 2004 @ 14:13:
Ben ook al druk bezig met de hulp van 4guysfromrola.com,
maar ik kom niet verder als een domme http 500 fout :(
1. Dan kijk je op een andere, vergelijkbare site
2. Google cache?
3. Wachten tot de webmaster het gerepareerd heeft.

Maar ik zie het nut niet van een 2.5 jaar grote kick van dit topic. :)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

Pagina: 1

Dit topic is gesloten.