Site ASP. faille?
BreTzeL
Messages postés
59
Statut
Membre
-
Kevin Gilbert -
Kevin Gilbert -
bonjour
je m'occupe d'un site basé sur de l'ASP (en VBscript) et je viens de me rendre compte que sur certaines pages, le script affiche ce qui est passé comme parametre (expl: machin.asp?str=machin+truc et il affiche quelque part dans la page "machin truc")
je voudrais savoir si, a votre avis, ca peut constituer une faille pour le serveur. (pour le client c sur, il suffit de mettre un petit bout de code javascript et le tour est joué).
merci d'avance pour vos reponses
je m'occupe d'un site basé sur de l'ASP (en VBscript) et je viens de me rendre compte que sur certaines pages, le script affiche ce qui est passé comme parametre (expl: machin.asp?str=machin+truc et il affiche quelque part dans la page "machin truc")
je voudrais savoir si, a votre avis, ca peut constituer une faille pour le serveur. (pour le client c sur, il suffit de mettre un petit bout de code javascript et le tour est joué).
merci d'avance pour vos reponses
A voir également:
- Site ASP. faille?
- Site de telechargement - Accueil - Outils
- Site x - Guide
- Site comme coco - Accueil - Réseaux sociaux
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site pour partager des photos - Guide
7 réponses
si c comme le php (je connais pas asp désolé ;o)) bah oui c dangereux pour le serveur de laisser visible les paramêtre dans l'url
en effet php est exécuté côté serveur alors si une personne mal attentionnée veut te péter le serveur c'est une porte ouverte !
je sais qu'en php le fichier php.ini permet de spécifier si tu veux que les paramtères soient affichés ou non, la méthode post en html permet de masquer ces paramètres...
en effet php est exécuté côté serveur alors si une personne mal attentionnée veut te péter le serveur c'est une porte ouverte !
je sais qu'en php le fichier php.ini permet de spécifier si tu veux que les paramtères soient affichés ou non, la méthode post en html permet de masquer ces paramètres...
en fait, vu que je ne suis pas l'auteur du code, je peux pas vraiment faire de changements profonds. (d'ailleurs j'en serais incapable, je programme en php habituellement ;)
je voudrais savoir si il faut que je fasse une fonction "filtre" qui empeche les caractères dans le genre "/\<> pour eviter que quelqu'un fasse passer du code par les parametres, ou si ca sert a rien ?
je voudrais savoir si il faut que je fasse une fonction "filtre" qui empeche les caractères dans le genre "/\<> pour eviter que quelqu'un fasse passer du code par les parametres, ou si ca sert a rien ?
donne nous le code je verrai ce que je peux faire si je trouve qq chose.
LMCT
j'ai touché le fond
maintenant je creuse
LMCT
j'ai touché le fond
maintenant je creuse
le code est etalé sur plusieurs page mais ce qui m'interesse c :
str=Request.QueryString("str")
...
response.write(str)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
si tu met un response.write dans le body c sur que tes variables vont secrire a quelque part dans ta page! cest comme si tu faisait un echo! non?
=^-^=
D_d.
=^-^=
D_d.
c'est marrant mais j'étais sur que c'était ça!!!mouarf!
c'est sans doute un truc pour débugger son programme qu'avait mis le développeur et qu'il avait oublié d'enlever!
donc rien de grave.
LMCT
j'ai touché le fond
maintenant je creuse
c'est sans doute un truc pour débugger son programme qu'avait mis le développeur et qu'il avait oublié d'enlever!
donc rien de grave.
LMCT
j'ai touché le fond
maintenant je creuse
Vos réponses sont marrantes,
Il est inutile de se servir de "post" au lieu de "get", si je fait un formulaire en local qui pointe sur ton serveur, le serveur croira que je provient d'un formulaire du site hébergé sur celui-ci.
Il existe des fonctions en php qui permettent d'afficher le code html (pour les forums par exemple), il doit aussi en exister pour le ASP.
Côté serveur, il n'y à aucun danger, sauf pour le SQL (voire access pour ASP), l'utilisateur peut injecter du code malveillant pour modifier ta requête. Dans ce dernier cas, tu met ton serveur à jour, et tu bloques certains caractères si tu dois les insérer dans une base de donnéesl.
Cordialement,
Kevin (kegi@hotmail.com)
Il est inutile de se servir de "post" au lieu de "get", si je fait un formulaire en local qui pointe sur ton serveur, le serveur croira que je provient d'un formulaire du site hébergé sur celui-ci.
Il existe des fonctions en php qui permettent d'afficher le code html (pour les forums par exemple), il doit aussi en exister pour le ASP.
Côté serveur, il n'y à aucun danger, sauf pour le SQL (voire access pour ASP), l'utilisateur peut injecter du code malveillant pour modifier ta requête. Dans ce dernier cas, tu met ton serveur à jour, et tu bloques certains caractères si tu dois les insérer dans une base de donnéesl.
Cordialement,
Kevin (kegi@hotmail.com)
