Les Allergies
Alimentaires
Posez votre question Signaler

Site ASP. faille?

BreTzeL 62Messages postés 22 juillet 2003Date d'inscription - Dernière réponse le 17 avr 2007 à 07:07
bonjour
je m'occupe d'un site basé sur de l'ASP (en VBscript) et je viens de me rendre compte que sur certaines pages, le script affiche ce qui est passé comme parametre (expl: machin.asp?str=machin+truc et il affiche quelque part dans la page "machin truc")
je voudrais savoir si, a votre avis, ca peut constituer une faille pour le serveur. (pour le client c sur, il suffit de mettre un petit bout de code javascript et le tour est joué).

merci d'avance pour vos reponses
Lire la suite 

Site ASP. faille »

7 réponses
Réponse
+0
moins plus
kelen 30 jui 2003 à 14:55
si c comme le php (je connais pas asp désolé ;o)) bah oui c dangereux pour le serveur de laisser visible les paramêtre dans l'url
en effet php est exécuté côté serveur alors si une personne mal attentionnée veut te péter le serveur c'est une porte ouverte !
je sais qu'en php le fichier php.ini permet de spécifier si tu veux que les paramtères soient affichés ou non, la méthode post en html permet de masquer ces paramètres...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
BreTzeL 62Messages postés 22 juillet 2003Date d'inscription 30 jui 2003 à 15:04
en fait, vu que je ne suis pas l'auteur du code, je peux pas vraiment faire de changements profonds. (d'ailleurs j'en serais incapable, je programme en php habituellement ;)
je voudrais savoir si il faut que je fasse une fonction "filtre" qui empeche les caractères dans le genre "/\<> pour eviter que quelqu'un fasse passer du code par les parametres, ou si ca sert a rien ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
fou2dodie 607Messages postés 6 juin 2001Date d'inscription 31 jui 2003 à 14:25
donne nous le code je verrai ce que je peux faire si je trouve qq chose.

LMCT

j'ai touché le fond
maintenant je creuse

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
BreTzeL 62Messages postés 22 juillet 2003Date d'inscription 31 jui 2003 à 15:36
le code est etalé sur plusieurs page mais ce qui m'interesse c : 
str=Request.QueryString("str")
...
response.write(str)

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
D_d. 1 aoû 2003 à 15:41
si tu met un response.write dans le body c sur que tes variables vont secrire a quelque part dans ta page! cest comme si tu faisait un echo! non?

=^-^=

D_d.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
fou2dodie 607Messages postés 6 juin 2001Date d'inscription 1 aoû 2003 à 16:21
c'est marrant mais j'étais sur que c'était ça!!!mouarf!

c'est sans doute un truc pour débugger son programme qu'avait mis le développeur et qu'il avait oublié d'enlever!
donc rien de grave.

LMCT

j'ai touché le fond
maintenant je creuse

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Kevin Gilbert 17 avr 2007 à 07:07
Vos réponses sont marrantes,

Il est inutile de se servir de "post" au lieu de "get", si je fait un formulaire en local qui pointe sur ton serveur, le serveur croira que je provient d'un formulaire du site hébergé sur celui-ci.

Il existe des fonctions en php qui permettent d'afficher le code html (pour les forums par exemple), il doit aussi en exister pour le ASP.

Côté serveur, il n'y à aucun danger, sauf pour le SQL (voire access pour ASP), l'utilisateur peut injecter du code malveillant pour modifier ta requête. Dans ce dernier cas, tu met ton serveur à jour, et tu bloques certains caractères si tu dois les insérer dans une base de donnéesl.

Cordialement,
Kevin (kegi@hotmail.com)

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « site ASP. faille? » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook