Site ASP. faille?
Fermé
BreTzeL
Messages postés
59
Date d'inscription
mardi 22 juillet 2003
Statut
Membre
Dernière intervention
28 juin 2005
-
30 juil. 2003 à 14:49
Kevin Gilbert - 17 avril 2007 à 07:07
Kevin Gilbert - 17 avril 2007 à 07:07
A voir également:
- Site ASP. faille?
- Site de telechargement - Guide
- Site inaccessible - Guide
- Site de vente entre particulier - Guide
- Site partage photo - Guide
- Darkino site - Guide
7 réponses
si c comme le php (je connais pas asp désolé ;o)) bah oui c dangereux pour le serveur de laisser visible les paramêtre dans l'url
en effet php est exécuté côté serveur alors si une personne mal attentionnée veut te péter le serveur c'est une porte ouverte !
je sais qu'en php le fichier php.ini permet de spécifier si tu veux que les paramtères soient affichés ou non, la méthode post en html permet de masquer ces paramètres...
en effet php est exécuté côté serveur alors si une personne mal attentionnée veut te péter le serveur c'est une porte ouverte !
je sais qu'en php le fichier php.ini permet de spécifier si tu veux que les paramtères soient affichés ou non, la méthode post en html permet de masquer ces paramètres...
BreTzeL
Messages postés
59
Date d'inscription
mardi 22 juillet 2003
Statut
Membre
Dernière intervention
28 juin 2005
24
30 juil. 2003 à 15:04
30 juil. 2003 à 15:04
en fait, vu que je ne suis pas l'auteur du code, je peux pas vraiment faire de changements profonds. (d'ailleurs j'en serais incapable, je programme en php habituellement ;)
je voudrais savoir si il faut que je fasse une fonction "filtre" qui empeche les caractères dans le genre "/\<> pour eviter que quelqu'un fasse passer du code par les parametres, ou si ca sert a rien ?
je voudrais savoir si il faut que je fasse une fonction "filtre" qui empeche les caractères dans le genre "/\<> pour eviter que quelqu'un fasse passer du code par les parametres, ou si ca sert a rien ?
fou2dodie
Messages postés
605
Date d'inscription
mercredi 6 juin 2001
Statut
Membre
Dernière intervention
29 août 2006
33
31 juil. 2003 à 14:25
31 juil. 2003 à 14:25
donne nous le code je verrai ce que je peux faire si je trouve qq chose.
LMCT
j'ai touché le fond
maintenant je creuse
LMCT
j'ai touché le fond
maintenant je creuse
BreTzeL
Messages postés
59
Date d'inscription
mardi 22 juillet 2003
Statut
Membre
Dernière intervention
28 juin 2005
24
31 juil. 2003 à 15:36
31 juil. 2003 à 15:36
le code est etalé sur plusieurs page mais ce qui m'interesse c :
str=Request.QueryString("str")
...
response.write(str)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
si tu met un response.write dans le body c sur que tes variables vont secrire a quelque part dans ta page! cest comme si tu faisait un echo! non?
=^-^=
D_d.
=^-^=
D_d.
fou2dodie
Messages postés
605
Date d'inscription
mercredi 6 juin 2001
Statut
Membre
Dernière intervention
29 août 2006
33
1 août 2003 à 16:21
1 août 2003 à 16:21
c'est marrant mais j'étais sur que c'était ça!!!mouarf!
c'est sans doute un truc pour débugger son programme qu'avait mis le développeur et qu'il avait oublié d'enlever!
donc rien de grave.
LMCT
j'ai touché le fond
maintenant je creuse
c'est sans doute un truc pour débugger son programme qu'avait mis le développeur et qu'il avait oublié d'enlever!
donc rien de grave.
LMCT
j'ai touché le fond
maintenant je creuse
Vos réponses sont marrantes,
Il est inutile de se servir de "post" au lieu de "get", si je fait un formulaire en local qui pointe sur ton serveur, le serveur croira que je provient d'un formulaire du site hébergé sur celui-ci.
Il existe des fonctions en php qui permettent d'afficher le code html (pour les forums par exemple), il doit aussi en exister pour le ASP.
Côté serveur, il n'y à aucun danger, sauf pour le SQL (voire access pour ASP), l'utilisateur peut injecter du code malveillant pour modifier ta requête. Dans ce dernier cas, tu met ton serveur à jour, et tu bloques certains caractères si tu dois les insérer dans une base de donnéesl.
Cordialement,
Kevin (kegi@hotmail.com)
Il est inutile de se servir de "post" au lieu de "get", si je fait un formulaire en local qui pointe sur ton serveur, le serveur croira que je provient d'un formulaire du site hébergé sur celui-ci.
Il existe des fonctions en php qui permettent d'afficher le code html (pour les forums par exemple), il doit aussi en exister pour le ASP.
Côté serveur, il n'y à aucun danger, sauf pour le SQL (voire access pour ASP), l'utilisateur peut injecter du code malveillant pour modifier ta requête. Dans ce dernier cas, tu met ton serveur à jour, et tu bloques certains caractères si tu dois les insérer dans une base de donnéesl.
Cordialement,
Kevin (kegi@hotmail.com)
