Tema: La Sesiones en ASP son INSEGURAS. La violacion de Seguridad es Facil... y Demostrado.
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 24/11/2005, 13:49
Avatar de richardinj
richardinj
 
Fecha de Ingreso: enero-2005
Ubicación: Ciber Espacio
Mensajes: 2.180
Antigüedad: 20 años, 3 meses
Puntos: 11
Exclamación La Sesiones en ASP son INSEGURAS. La violacion de Seguridad es Facil... y Demostrado.
Hola amigos ... el propocito a esto es encontrar una solucion que arregle este problema... y lo que les detallo les ruego que lo hagan por porbar y no para mal.. no me responsabilizo de su ingnorancia de hacer las cosas para mal... bueno aqui les cuento mi caso...

luego de hacer muchos experimentos note algo extraño en ASP... lo que pasa es que las sesiones no funcionan en algunos casos y eso hace que violen el sistema y vean informacion confidencial... encontre dos modos... uno es por una web que nos haga el favor y la otra usando AJAX...

como ejemplo vamos a suponer que tenemos 3 paginas.. logeo.asp, valida.asp y paneladmin.asp (obviamente con sus sesiones creadas y validadas)

Estas paginas estan alojadas en un servidor web... con dominio y todo...

Desde cualquier PC con internet o cabina publica podemos hacer lo siguiente...

Supongamos que esos archivos son de la web Victima...

Metodo de la Web
Este metodo te permite ver la web pero no podras ejecutar nada que tenga que ver con javascript, pero puedes ver informacion confidencial...

Primero nos vamos a https://www.megaproxy.com/freesurf/ y escribimos www.dominio.com/paneladmin.asp

y vas a ver la web.. listo... si hay link comunes podras navegar en ella...

Metodo AJAX
bueno esto es para lo que saben un poco de ajax...
debes crear una web que haga el trabajo...

Solo llama a la web colocando la URL www.dominio.com/paneladmin.asp en la funcion SEND y carga el contenido dentro de DIV usando innerHTML... y listo podras ver la web cargada...

si quieres que se ejecute los script tienes que cargar el contenido HTML de la web cargada con AJAX en un text area... asi podras ver el html que tiene.. luego buscxa los codigos script que usa y colocalos en tu web como si fueran tus funciones.. esto permitara que no te salga un error como "objeto no definido".. poco a poco vas armando la web victima en tu web y podras navegar con ganas....


Quisas no se pueden ejecutar algunas cosas, pero con ingenio se puede lograr... tendrias que armar la web poco a poco segun recoges datos... pero de que vas a poder ver informacion confidencial como documentos.. si es factible...


Obviamente yo eleji una web victima echa con ASP y logre los propositos benignos.. luego les avise de ese tema a los dueños y la verdad el problema esta en las sesiones... ASP me decepciono en esto...

Ya probe con PHP y ASP.NET y si valida las sesiones... todo normal...

Yo tengo una pagina web en ASP y no se que hacer ante este problema..
Talves alguien sabe como arreglar esto...

Saludos...........


Un Abrazo.