High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Site ASP. faille?

Dernière réponse le 17 avr 2007 à 07:07:02 BreTzeL, le 30 jui 2003 à 14:49:45 
 Signaler ce message aux modérateurs

Bonjour
je m'occupe d'un site basé sur de l'ASP (en VBscript) et je viens de me rendre compte que sur certaines pages, le script affiche ce qui est passé comme parametre (expl: machin.asp?str=machin+truc et il affiche quelque part dans la page "machin truc")
je voudrais savoir si, a votre avis, ca peut constituer une faille pour le serveur. (pour le client c sur, il suffit de mettre un petit bout de code javascript et le tour est joué).

merci d'avance pour vos reponses

Meilleures réponses pour « site ASP. faille? » dans :
[Webmaster] Créer un forum sur son site facilement Voir
Il est possible de récupérer le code source PHP d'un site VoirMythe Un utilisateur peut récupérer le code source PHP d'un site web comme il peut récupérer le code HTML. Réalité FAUX Explications Les fichiers PHP (ASP, JSP, etc.) sont des fichiers interprétés côté serveur, ce qui signifie que le serveur...
Créer un site internet Voir
ASP - La fichier global.asa VoirIntroduction au fichier global.asa Afin de permettre de configurer une application (un site web) avec des paramètres par défaut sans devoir modifier la configuration du serveur, le modèle ASP propose l'utilisation d'un fichier de...
ASP - L'objet Application VoirPrésentation de l'objet Application Le rôle de l'objet Application est de permettre le partage d'information entre plusieurs utilisateurs d'une application. Dans le modèle ASP, une application représente un ensemble de fichiers situés dans le même...
Mesure d'audience d'un site web VoirMesure et qualification de l'audience d'un site web L'objectif de tout webmaster est de développer l'audience de son site web, c'est-à-dire d'accroître le nombre de visites journalières. Il lui est ainsi indispensable de disposer d'indicateurs lui...
Posez votre question Répondre

1

kelen, le 30 jui 2003 à 14:55:54

Si c comme le php (je connais pas asp désolé ;o)) bah oui c dangereux pour le serveur de laisser visible les paramêtre dans l'url
en effet php est exécuté côté serveur alors si une personne mal attentionnée veut te péter le serveur c'est une porte ouverte !
je sais qu'en php le fichier php.ini permet de spécifier si tu veux que les paramtères soient affichés ou non, la méthode post en html permet de masquer ces paramètres...

   
Répondre à kelen

2

BreTzeL, le 30 jui 2003 à 15:04:05

En fait, vu que je ne suis pas l'auteur du code, je peux pas vraiment faire de changements profonds. (d'ailleurs j'en serais incapable, je programme en php habituellement ;)
je voudrais savoir si il faut que je fasse une fonction "filtre" qui empeche les caractères dans le genre "/\<> pour eviter que quelqu'un fasse passer du code par les parametres, ou si ca sert a rien ?

   
Répondre à BreTzeL

3

fou2dodie, le 31 jui 2003 à 14:25:14

Donne nous le code je verrai ce que je peux faire si je trouve qq chose.

LMCT

j'ai touché le fond
maintenant je creuse

   
Répondre à fou2dodie

4

BreTzeL, le 31 jui 2003 à 15:36:27

Le code est etalé sur plusieurs page mais ce qui m'interesse c : 

str=Request.QueryString("str")
...
response.write(str)

   
Répondre à BreTzeL

5

D_d., le 1 aoû 2003 à 15:41:54

Si tu met un response.write dans le body c sur que tes variables vont secrire a quelque part dans ta page! cest comme si tu faisait un echo! non?

=^-^=

D_d.

   
Répondre à D_d.

6

fou2dodie, le 1 aoû 2003 à 16:21:21

C'est marrant mais j'étais sur que c'était ça!!!mouarf!

c'est sans doute un truc pour débugger son programme qu'avait mis le développeur et qu'il avait oublié d'enlever!
donc rien de grave.

LMCT

j'ai touché le fond
maintenant je creuse

   
Répondre à fou2dodie

7

 Kevin Gilbert, le 17 avr 2007 à 07:07:02

Vos réponses sont marrantes,

Il est inutile de se servir de "post" au lieu de "get", si je fait un formulaire en local qui pointe sur ton serveur, le serveur croira que je provient d'un formulaire du site hébergé sur celui-ci.

Il existe des fonctions en php qui permettent d'afficher le code html (pour les forums par exemple), il doit aussi en exister pour le ASP.

Côté serveur, il n'y à aucun danger, sauf pour le SQL (voire access pour ASP), l'utilisateur peut injecter du code malveillant pour modifier ta requête. Dans ce dernier cas, tu met ton serveur à jour, et tu bloques certains caractères si tu dois les insérer dans une base de donnéesl.

Cordialement,
Kevin (kegi@hotmail.com)

   
Répondre à Kevin Gilbert
Posez votre question Répondre
Ils ont besoin de votre aide