Foros del Web » Programando para Internet » ASP Clásico »

Ayuda: COMO PROTEGER LA WEB ???

Estas en el tema de Ayuda: COMO PROTEGER LA WEB ??? en el foro de ASP Clásico en Foros del Web. He creado la una web de prueba y la he colocado en un servidor. Tiene una base de datos Access, y claro los enlaces a ...
  #1 (permalink)  
Antiguo 06/05/2005, 04:41
 
Fecha de Ingreso: mayo-2005
Mensajes: 98
Antigüedad: 19 años, 1 mes
Puntos: 0
Exclamación Ayuda: COMO PROTEGER LA WEB ???

He creado la una web de prueba y la he colocado en un servidor.

Tiene una base de datos Access, y claro los enlaces a la base de Datos Ms Access son mediante una direccion direccion donde esta hubicado el servidor web, es desir sin DNS, de la manera de:

Set conn = Server.CreateObject ("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&server.mappath("bd/icsme.mdb")
Set RS = Server.CreateObject ("ADODB.RecordSet")



Haciendo pruebas para la seguridad, con un gestor de descargas me he bajado una de las paginas ASP y desde ahi se podria ver la direccion relativa de la base de Datos para la autentificacion de los usuarios. Pues bien, sabiendo esa dirección me he descargado la base de datos y la he abierto.

¿ COMO EVITO ESTO ?

Última edición por Moises22; 06/05/2005 a las 06:37
  #2 (permalink)  
Antiguo 06/05/2005, 05:58
Avatar de Muzztein  
Fecha de Ingreso: agosto-2002
Ubicación: Hangar 18
Mensajes: 1.703
Antigüedad: 21 años, 9 meses
Puntos: 16
que gestor de descargar es ese ?????????????????????


para poder hakerame todos los sitios que existen en asp digo yo.
  #3 (permalink)  
Antiguo 06/05/2005, 06:16
 
Fecha de Ingreso: mayo-2005
Mensajes: 98
Antigüedad: 19 años, 1 mes
Puntos: 0
Se puede realizar con cualquier gestor de descarga que permita bajar mediante direccion URL, es desir, casi todos. t vas al formulario del login password, por ejemplo... alli miras hacia donde se envian los datos (pagina ASP que los recibe y chequea). Una vez sabes esto pones la ruta completa de la web uncluyendo la del archivo ASP que hemos obtenido.

Cuando te bajos el archivo ASP, lo editas y miras donde se ecuentra la conexion de la base de datos. Despues de esto, realizamos la operacion de descarga pero esta vez con la ruta de la base de datos, y ya desde nuestro ordenador las abrimos y vemos los
login/password que hay dentro.

NECESITO UNA SOLUCIÓN PARA ESTO, ¿¿¿ ALGUIEN LA SABE ??? (Si le ponemos clave a la Base de Datos tb la podemos saber bajandonos el archivo ASP)

Última edición por Moises22; 06/05/2005 a las 06:34
  #4 (permalink)  
Antiguo 06/05/2005, 07:16
Avatar de Muzztein  
Fecha de Ingreso: agosto-2002
Ubicación: Hangar 18
Mensajes: 1.703
Antigüedad: 21 años, 9 meses
Puntos: 16
ja.

insisto .. cual es ese programa!!!?????
  #5 (permalink)  
Antiguo 06/05/2005, 07:21
Avatar de 3pies
Colaborador
 
Fecha de Ingreso: diciembre-2003
Ubicación: Desde una destilería
Mensajes: 2.584
Antigüedad: 20 años, 6 meses
Puntos: 144
No me lo puedo creer, lo siento, pero no puedo...

Opción para que eso no pase (en el caso de que realmente pase): meter las bases de datos fuera de wwwroot, en una carpeta al mismo nivel. Inaccesible desde http.
  #6 (permalink)  
Antiguo 06/05/2005, 07:25
 
Fecha de Ingreso: junio-2004
Mensajes: 72
Antigüedad: 20 años
Puntos: 2
Puede que me este ekivocando pero .... al bajar algun archivo *.asp desde X gestor de descarga , simplemente lo optenido es el resultado de esa pagina , y no que procesos utiliza o acciona para ejercer dicha pagina ,
repito nuevamente puede que me ekivoque , yo mismo hice la prueva de bajar exclusivamente mi archivo de coneccion a BD , con lo cual no informa en absoluto NADA sobre a donde apunta la BD
  #7 (permalink)  
Antiguo 06/05/2005, 07:36
Avatar de Muzztein  
Fecha de Ingreso: agosto-2002
Ubicación: Hangar 18
Mensajes: 1.703
Antigüedad: 21 años, 9 meses
Puntos: 16
es que si fuera posible seria el bug de seguridad mas grande de la historia que nadie jamas ha explotado.
  #8 (permalink)  
Antiguo 06/05/2005, 07:48
 
Fecha de Ingreso: marzo-2003
Ubicación: onde toy?
Mensajes: 1.437
Antigüedad: 21 años, 3 meses
Puntos: 9
Donde alojas la BDD?? dentro del directorio wwwroot o fuera de él?

si lo guerdas dentro claro que sabiendo la ruta de la bdd te la van a descargar pero fuera del wwwroot no podrian. IIS reconoce lo que es lado publico y donde empieza lo privado...
__________________
Buena Vida...
Francisco
  #9 (permalink)  
Antiguo 06/05/2005, 08:43
 
Fecha de Ingreso: mayo-2005
Mensajes: 98
Antigüedad: 19 años, 1 mes
Puntos: 0
si se puede hacer perfectamente. Lo he probado en varios sitios. Encuanto a la solucion que se me plantea, si se quiere subir un sitio web a un servidor de pago via FTP evidentemente no se puede poner en una carpeta fuera de la publica que t da el servidor.

ESPERO MAS RESPUESTAS, GRACIAS E INVITO A QUE LO PROBEIS
  #10 (permalink)  
Antiguo 06/05/2005, 08:50
Avatar de Muzztein  
Fecha de Ingreso: agosto-2002
Ubicación: Hangar 18
Mensajes: 1.703
Antigüedad: 21 años, 9 meses
Puntos: 16
ya... si ....
  #11 (permalink)  
Antiguo 06/05/2005, 08:57
 
Fecha de Ingreso: marzo-2003
Ubicación: onde toy?
Mensajes: 1.437
Antigüedad: 21 años, 3 meses
Puntos: 9
Cita:
Iniciado por Moises22
si se puede hacer perfectamente. Lo he probado en varios sitios. Encuanto a la solucion que se me plantea, si se quiere subir un sitio web a un servidor de pago via FTP evidentemente no se puede poner en una carpeta fuera de la publica que t da el servidor.

ESPERO MAS RESPUESTAS, GRACIAS E INVITO A QUE LO PROBEIS
Estas pagando por un servicio?? los tipos del hosting deben tener claro el tema de que la BDD deben ponerla fuera del wwwroot. asi que pregunatales como hacerlo en ese caso...
__________________
Buena Vida...
Francisco
  #12 (permalink)  
Antiguo 06/05/2005, 09:04
Avatar de 3pies
Colaborador
 
Fecha de Ingreso: diciembre-2003
Ubicación: Desde una destilería
Mensajes: 2.584
Antigüedad: 20 años, 6 meses
Puntos: 144
Para Moises22:

Ya que nos invitas a que lo probemos, dinos el programa que usas, y deja un link del sitio web para bajarnos tu base de datos (luego la venderemos al mejor postor, evidentemente )
  #13 (permalink)  
Antiguo 06/05/2005, 10:01
 
Fecha de Ingreso: mayo-2005
Mensajes: 98
Antigüedad: 19 años, 1 mes
Puntos: 0
GRACIAS ALERT, tenias razón en cuanto aque cuando bajamos el archivo asp, lo que nos bajamos es el asp ya elaborado con lo cual la ruta no la podemos estimar. LO QUE PASA ES QUE PARECE QUE SI LO REALIZAS DESDE EL MISMO EQUIPO QUE LA HOSPEDA SI TE LA BAJAS SIN RESOLVER, CON LO CUAL EL PROBLEMA QUEDA RESUELTA.

Habra gente que no entienda ni papa de lo que digo, seguir riendo.
  #14 (permalink)  
Antiguo 06/05/2005, 10:02
Avatar de AlZuwaga
Colaborador
 
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 23 años, 3 meses
Puntos: 535
Moises22, tu servidor no está interpretando ASP. No lo procesa, por eso entrega la ruta de la base de datos en el código fuente (sino, no debería)

Con respecto a ésto:
Cita:
si se quiere subir un sitio web a un servidor de pago via FTP evidentemente no se puede poner en una carpeta fuera de la publica que t da el servidor.
Cualquier proveedor de hosting de pago que sea "medianamente serio" te permite tener carpetas (o sólo una) por fuera del directorio de publicación.

Estás afirmando muchas cosas que no son ciertas!
__________________
...___...
  #15 (permalink)  
Antiguo 06/05/2005, 10:12
Avatar de u_goldman
Moderador
 
Fecha de Ingreso: enero-2002
Mensajes: 8.031
Antigüedad: 22 años, 5 meses
Puntos: 98
interesante, creo que tendremos que cambiar todos nuestros sistemas en ASP pues este gestor es infalible...vuelvo y pregunto, cuál es el gestor de descargas que estás ocupando para hacer semejante cosa?

Será acaso, que más bien puedes ver la ruta a tu DB porque la tienes en un archivo con otra extensión diferente a .asp?

Salú, y no comiencen el viernes sin mí
__________________
"El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera."
-- Ernest Hemingway
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:53.