Ayuda: COMO PROTEGER LA WEB ???

Moises22 · #1 (**permalink**) 06/05/2005, 04:41

He creado la una web de prueba y la he colocado en un servidor.

Tiene una base de datos Access, y claro los enlaces a la base de Datos Ms Access son mediante una direccion direccion donde esta hubicado el servidor web, es desir sin DNS, de la manera de:

Set conn = Server.CreateObject ("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&server.mappath("bd/icsme.mdb")
Set RS = Server.CreateObject ("ADODB.RecordSet")

Haciendo pruebas para la seguridad, con un gestor de descargas me he bajado una de las paginas ASP y desde ahi se podria ver la direccion relativa de la base de Datos para la autentificacion de los usuarios. Pues bien, sabiendo esa dirección me he descargado la base de datos y la he abierto.

¿ COMO EVITO ESTO ?

Muzztein · #2 (**permalink**) 06/05/2005, 05:58

que gestor de descargar es ese ?????????????????????

para poder hakerame todos los sitios que existen en asp digo yo.

Moises22 · #3 (**permalink**) 06/05/2005, 06:16

Se puede realizar con cualquier gestor de descarga que permita bajar mediante direccion URL, es desir, casi todos. t vas al formulario del login password, por ejemplo... alli miras hacia donde se envian los datos (pagina ASP que los recibe y chequea). Una vez sabes esto pones la ruta completa de la web uncluyendo la del archivo ASP que hemos obtenido.

Cuando te bajos el archivo ASP, lo editas y miras donde se ecuentra la conexion de la base de datos. Despues de esto, realizamos la operacion de descarga pero esta vez con la ruta de la base de datos, y ya desde nuestro ordenador las abrimos y vemos los
login/password que hay dentro.

NECESITO UNA SOLUCIÓN PARA ESTO, ¿¿¿ ALGUIEN LA SABE ??? (Si le ponemos clave a la Base de Datos tb la podemos saber bajandonos el archivo ASP)

Muzztein · #4 (**permalink**) 06/05/2005, 07:16

ja.

insisto .. cual es ese programa!!!?????

3pies · #5 (**permalink**) 06/05/2005, 07:21

No me lo puedo creer, lo siento, pero no puedo...

Opción para que eso no pase (en el caso de que realmente pase): meter las bases de datos fuera de wwwroot, en una carpeta al mismo nivel. Inaccesible desde http.

Alert · #6 (**permalink**) 06/05/2005, 07:25

Puede que me este ekivocando pero .... al bajar algun archivo *.asp desde X gestor de descarga , simplemente lo optenido es el resultado de esa pagina , y no que procesos utiliza o acciona para ejercer dicha pagina ,
repito nuevamente puede que me ekivoque , yo mismo hice la prueva de bajar exclusivamente mi archivo de coneccion a BD , con lo cual no informa en absoluto NADA sobre a donde apunta la BD

Muzztein · #7 (**permalink**) 06/05/2005, 07:36

es que si fuera posible seria el bug de seguridad mas grande de la historia que nadie jamas ha explotado.

Bluesman74cl · #8 (**permalink**) 06/05/2005, 07:48

Donde alojas la BDD?? dentro del directorio wwwroot o fuera de él?

si lo guerdas dentro claro que sabiendo la ruta de la bdd te la van a descargar pero fuera del wwwroot no podrian. IIS reconoce lo que es lado publico y donde empieza lo privado...

Moises22 · #9 (**permalink**) 06/05/2005, 08:43

si se puede hacer perfectamente. Lo he probado en varios sitios. Encuanto a la solucion que se me plantea, si se quiere subir un sitio web a un servidor de pago via FTP evidentemente no se puede poner en una carpeta fuera de la publica que t da el servidor.

ESPERO MAS RESPUESTAS, GRACIAS E INVITO A QUE LO PROBEIS

Muzztein · #10 (**permalink**) 06/05/2005, 08:50

ya... si ....

Bluesman74cl · #11 (**permalink**) 06/05/2005, 08:57

Cita:

Iniciado por Moises22

si se puede hacer perfectamente. Lo he probado en varios sitios. Encuanto a la solucion que se me plantea, si se quiere subir un sitio web a un servidor de pago via FTP evidentemente no se puede poner en una carpeta fuera de la publica que t da el servidor.

ESPERO MAS RESPUESTAS, GRACIAS E INVITO A QUE LO PROBEIS

Estas pagando por un servicio?? los tipos del hosting deben tener claro el tema de que la BDD deben ponerla fuera del wwwroot. asi que pregunatales como hacerlo en ese caso...

3pies · #12 (**permalink**) 06/05/2005, 09:04

Para Moises22:

Ya que nos invitas a que lo probemos, dinos el programa que usas, y deja un link del sitio web para bajarnos tu base de datos (luego la venderemos al mejor postor, evidentemente

)

Moises22 · #13 (**permalink**) 06/05/2005, 10:01

GRACIAS ALERT, tenias razón en cuanto aque cuando bajamos el archivo asp, lo que nos bajamos es el asp ya elaborado con lo cual la ruta no la podemos estimar. LO QUE PASA ES QUE PARECE QUE SI LO REALIZAS DESDE EL MISMO EQUIPO QUE LA HOSPEDA SI TE LA BAJAS SIN RESOLVER, CON LO CUAL EL PROBLEMA QUEDA RESUELTA.

Habra gente que no entienda ni papa de lo que digo, seguir riendo.

AlZuwaga · #14 (**permalink**) 06/05/2005, 10:02

Moises22, tu servidor no está interpretando ASP. No lo procesa, por eso entrega la ruta de la base de datos en el código fuente (sino, no debería)

Con respecto a ésto:

Cita:

si se quiere subir un sitio web a un servidor de pago via FTP evidentemente no se puede poner en una carpeta fuera de la publica que t da el servidor.

Cualquier proveedor de hosting de pago que sea "medianamente serio" te permite tener carpetas (o sólo una) por fuera del directorio de publicación.

Estás afirmando muchas cosas que no son ciertas!

u_goldman · #15 (**permalink**) 06/05/2005, 10:12

interesante, creo que tendremos que cambiar todos nuestros sistemas en ASP pues este gestor es infalible...vuelvo y pregunto, cuál es el gestor de descargas que estás ocupando para hacer semejante cosa?

Será acaso, que más bien puedes ver la ruta a tu DB porque la tienes en un archivo con otra extensión diferente a .asp?

Salú, y no comiencen el viernes sin mí