ayuda con seguridad en .asp

luismu · #1 (**permalink**) 14/02/2008, 14:25

Hola

Estoy buscando iformacion sobre seguridad en sitios echos en asp, en una de esas ustedes me pueden ayudar.

He tenido problemas con un hacker en un sitio, que ha cambiado una pagina.

Necesito saber si inyectando codigo asp se puede cambiar alguna pagina de un server o tiene que haber algun agujero de seguridad en algun pagina .asp que permita subir archivos. Yo ya había borrado un .asp que permitia subir archivos al server por otro problema anterior con otro hacker.

Saludos y gracias

Shiryu_Libra · #2 (**permalink**) 14/02/2008, 14:33

el servidor es propio?? en todas tus carpetas tienes permisos a los usuarios anonimos???? si el servidor es propio... has verificado el registro (LOG), que servicios tienes habilitados??? cuando paso el cambio de pagina... como fue?? un formulario de registro??? como pasas parametros entre paginas???

ya te bombardie con muchas preguntas.... todo indica SQL inyection....

ya verificaste tu base de datos????

rene_bustos · #3 (**permalink**) 14/02/2008, 14:57

Asi es como dice shiryu_libra

Pueden pasa varias cosas y entre todas esas y las mas factibles creo yo es que por medio de SQL injection haya entrado, pero abria que ver como te paso todo

en tus proximas modificaciones trata de ver siempre los parametros como el hilo que sostiene al sistema y al usuario y si este se rompo el sistema quedara visto por otros programadores y en base a erores que se se muestre pueden usarlos para su beneficio
y claro que si necesitas ayuda para eso estamos todos

luismu · #4 (**permalink**) 15/02/2008, 05:25

Cita:

Iniciado por Shiryu_Libra

el servidor es propio?? en todas tus carpetas tienes permisos a los usuarios anonimos???? si el servidor es propio... has verificado el registro (LOG), que servicios tienes habilitados??? cuando paso el cambio de pagina... como fue?? un formulario de registro??? como pasas parametros entre paginas???

ya te bombardie con muchas preguntas.... todo indica SQL inyection....

ya verificaste tu base de datos????

Hola Shiryu_Libra

-El servidor es compartido hosteado en ******.com

-Como se configuran los permisos en las carpetas ? igual que en linux ? (no tengo mucha experiencia con asp)

-El cambio paso hace algunos dias, como fue ? eso es lo que no se !! desde el soporte me pasaron esta cadena que encontraron en el log :

Cita:

proyectos.asp?autor=Hacked+By+HayaletFrm.Com&tema= Hacked+By+HayaletFrm.Com&clave=Hacked+
By+HayaletFrm.ComHacked+By+HayaletFrm.ComHacked+By +HayaletFrm.ComHacked+By+Hayal
etFrm.ComHacked+By+HayaletFrm.ComHacked+By+Hayalet Frm.ComHacked+By+HayaletFrm.Co
mHacked+By+HayaletFrm.ComHacked+By+HayaletFrm.ComH acked+By+HayaletFrm.ComHacked+

Ese .asp lo armé yo y es bastante simple y ahora que estoy investigando el tema veo que tiene algunos agujeros de seguridad, al no "revisar" el contenido de las variables que se pasan por URL se puede acceder a los datos de la base access. Pero mi duda es si inyectando codigo se puede cambiar las paginas por otras ademas de tener acceso a las bases de datos.

los datos se pasan de un formulario con :

Código:

<form action="proyectos.asp" method=get>

Saludos y gracias por responder

luismu · #5 (**permalink**) 15/02/2008, 05:30

Cita:

Iniciado por rene_bustos

Asi es como dice shiryu_libra

Pueden pasa varias cosas y entre todas esas y las mas factibles creo yo es que por medio de SQL injection haya entrado, pero abria que ver como te paso todo

en tus proximas modificaciones trata de ver siempre los parametros como el hilo que sostiene al sistema y al usuario y si este se rompo el sistema quedara visto por otros programadores y en base a erores que se se muestre pueden usarlos para su beneficio
y claro que si necesitas ayuda para eso estamos todos

Hola rene_bustos

Gracias por responder igual !!!

Seguro que necesito ayuda

tengo un poco más de experiencia en php que asp.

Puede ser más fácil inyectar codigo en asp que en php ? al parecer el php trabaja mejor con las variables pasadas por formularios filtrando las comillas "de más" , es así ?

Saludos

Shiryu_Libra · #6 (**permalink**) 15/02/2008, 11:17

respecto a las comillas de mas... puedes crear una funcion que limpie tus cadenas de texto de codigo malicioso, algo asi...

funcion que se creo aqui en FDW... de hecho esta en la biblioteca de clases

Cita:

function prepara_str_para_login(str)
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[")
str = replace(str,">","]")
str = replace(str,"--","")
str = replace(str,"select","")
str = replace(str,"insert","")
str = replace(str,"update","")
str = replace(str,"delete","")
str = replace(str,"drop","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
prepara_str_para_login = str
end function

y donde ocupes llamarla

Cita:

variable=prepara_str_para_login(request.form("camp o"))

a lo mejor puede servirte para futuros casos

luismu · #7 (**permalink**) 18/02/2008, 05:28

Gracias Shiryu_Libra por tu ayuda.

Pero algo no me queda claro: si usando inyeccion de codigo en consultas sql se puede reemplazar o modificar paginas .asp en un servidor

Saludos

Shiryu_Libra · #8 (**permalink**) 18/02/2008, 13:08

Comic --- Como seria una inyeccion de codigo en SQL (ingles)

AlZuwaga · #9 (**permalink**) 18/02/2008, 13:49

Cita:

Did you really name your son Robert') DROM TABLE Students;--?

Jajajaja muy bueno!

luismu · #10 (**permalink**) 20/02/2008, 06:06

Ya implementé la rutina que me pasaron.

Otra consulta, que comando/sentencia debo buscar dentro de los .asp para detectar alguna vulnerabilidad y que alguien pueda subir o modificar archivos al server.

Saludos y gracias

pd
Sigo con la duda: usando inyeccion de codigo en consultas sql se puede reemplazar o modificar paginas .asp en un servidor ?

Epunamun · #11 (**permalink**) 20/02/2008, 08:55

a ver modificar paginas si se llama deface, pero creo que esta vulnerabilidad es solo de php a no ser de que estes guardando vinculos en tu bd, ahora por sql inyection pueden hacer de todo apagar el pc borrar tu db tus tablas registros etc..... sacar los email para phissing, spam.... y sigue y sigue la cadena, lo mejor y mas recomendado es tratar las varibles como parametros al tratarlas como parametros el SQL INJECTION muere. Claramente la clase de alla arriba es buena pero es para ANSI y que pasa si introdusco un lenguaje intermedio la clase antes mencionada muere. Ahora bien con los parametros mitigas esta falencia, recuerda qeu ninguna pagina es 100% segura lo unico que podemos haces es dejar el rango mas cercano al 100%.

salu2 nos bites.

luismu · #12 (**permalink**) 21/02/2008, 06:17

Cita:

Iniciado por Epunamun

a ver modificar paginas si se llama deface, pero creo que esta vulnerabilidad es solo de php a no ser de que estes guardando vinculos en tu bd, ahora por sql inyection pueden hacer de todo apagar el pc borrar tu db tus tablas registros etc..... sacar los email para phissing, spam.... y sigue y sigue la cadena, lo mejor y mas recomendado es tratar las varibles como parametros al tratarlas como parametros el SQL INJECTION muere. Claramente la clase de alla arriba es buena pero es para ANSI y que pasa si introdusco un lenguaje intermedio la clase antes mencionada muere. Ahora bien con los parametros mitigas esta falencia, recuerda qeu ninguna pagina es 100% segura lo unico que podemos haces es dejar el rango mas cercano al 100%.

salu2 nos bites.

Hola Epunamun , a que te refieres con " tratar las varibles como parametros" ?

No sería buena idea limitar el largo de las variables para evitar que se intoduzcan cadenas muy largas con muchos parametros/sentencias/comandos ?

Entonces sería imposible cambiar archivos usando inyeccion sql , para cambiar o modificar un .asp debe haber algun otro .asp que permita subir archivos al server ?

Gracias