ATENCION Problema de seguridad en ASP

Torus · #1 (**permalink**) 24/05/2002, 13:40

Se ha descubierto un problema de seguridad en los sitios web y que contengan login/password con consulta SQL escritas de determinada forma.
Esto afecta a los webmasters que realicen para la programación Server Behavior de Macromedia Ultradev.
Hay una forma de averiguar si se tiene ese fallo, que obviamente no pondré en el post por motivos obvios, solo diré que en el peor de los casos devuelve el contenido de toda la bd, pero que estoy dispuesto a decírselo vía mail al que lo desee, así como la solución.

Hay tanto que aprender y tan poco tiempo

bakanzipp · #2 (**permalink**) 24/05/2002, 14:26

aunke no utilice macromedia un poco de conocimento nunca esta demas

me anoto [email protected]

AlZuwaga · #3 (**permalink**) 24/05/2002, 15:08

Por casualidad no será el tema de poner ' (apóstrofes) en el user y pass y así construir una cadena SQL que valide al 'entrometido' como un usuario registrado?

Si es así, no es un problema de seguridad en ASP... es un descuido del programador (a mi me pasó y perdí muchos datos de estadísticas de usuarios

... suerte que tenía un back-up reciente de la BD

)

Hanko1 · #4 (**permalink**) 24/05/2002, 15:37

[email protected]

Veamos de que se trata

#5 (**permalink**) 24/05/2002, 15:41

de todas formas si te lo pido por mail, lo tendré, aún cuando no postees ¿no?

Saluditos

henryzs · #6 (**permalink**) 24/05/2002, 18:25

me apunto..

[email protected]

annacopi · #7 (**permalink**) 25/05/2002, 00:11

Hola Me gustaria conocer mas sobre el problema de seguridad de ASP!

[email protected]

Torus · #8 (**permalink**) 25/05/2002, 06:42

Hola a tod@s:
dazuaga, efectivamente es ese el problema, pero tienes que darte cuenta que mucha gente no "pica" el código si no que se fía de un programa que lo hace por ellos y se fía del resultado (mal hecho por que se mete mucho código "basura" en el.

Yomero, yo parto de la premisa que todo el mundo el bueno;) pero no debes de olvidar que aunque todos los que entramos en este foro es para aprender y para ampliar nuestro conocimiento, también hay gente que se dedica a aprender para fastidiar a los demás (los mínimos) si no fíjate en cuantos post se pide código para poder ver el disco duro del cliente ¿para qeeee? Espero que lo comprendas.
Ahora si el que manda su email lo hace por que le interesa y por su propio bien, o eso quiero creer
Saludos

Hay tanto que aprender y tan poco tiempo

comsis · #9 (**permalink**) 25/05/2002, 21:21

Muy delicado!

[email protected]. Gracias.

sdz · #10 (**permalink**) 26/05/2002, 12:58

me apunto, yo uso sql2000 y asp
[email protected]

Gracias.
Cómo te diste cuenta?

ElAprendiz · #11 (**permalink**) 26/05/2002, 14:10

Siempre he consultado ese tema (seguridad) en este foro y nunca me han respondido.. ojala y puedes ayudarnos. (a pesar de que no uso dreamweaver). saludos

Nochero · #12 (**permalink**) 26/05/2002, 15:39

El problema de las comillas es un tema archiconocido, pero no creo sea atribuible unicamente a ASP.En cualquier lenguaje que requiera datos de un formulario habria que tomar esos recaudos, incluso en el envio de parametros a paginas y archivos incluibles.
Lo de preguntar como se hace tal cosa creo se hace mas bien para aprender, actualizarnos y asi prevenirnos antes que alguien lo "haga" por nosotros.

taluego

Torus · #13 (**permalink**) 26/05/2002, 16:43

Turus ha dicho
---------------------------------------------
efectivamente es ese el problema, pero tienes que darte cuenta que mucha gente no "pica" el código si no que se fía de un programa que lo hace por ellos y se fía del resultado (mal hecho por que se mete mucho código "basura" en el.
---------------------------------------------
Nochero no todos los que están en el foro tiene la obligación de haber nacido "aprendido" y como desconocen ciertos procedimientos (que no tienen obligación de saberlos ) utilizan unos programas que la mayor parte del trabajo se la hace dicho programa, este cuesta dinero y debería ser seguro sobre todo en estas cuestiones.
Creo que los que tenemos un poco de idea y nos damos cuenta de estas cosas deberíamos de comunicarlas para que otros se BENEFICIEN de lo poco que sabemos ya que estamos en un foro para APRENDER y AYUDAR. Eso de "ya lo sabia yo" esta muy bien, pues si lo sabes Comunícalo para poder saber mas todos.

Saludos

Hay tanto que aprender y tan poco tiempo

Nochero · #14 (**permalink**) 26/05/2002, 19:21

Torus, me parece muy bien que alertes sobre inseguridad, tambien he respondido dando ejemplos practicos.
No he dicho que me lo se todo, mis conocimientos llegan hasta el promedio.
Estoy de acuerdo obviamente se expongan y alerte lo que sea, pero creo que los Tips debieran exponer problema-solucion para hacer el foro mas dinamico, entonces el que lo sabe ya esta, y sino alertar a los que no
sabian, porque comunicar por mail tampoco garantiza que se utilice para otros fines.

Saludos !

Torus · #15 (**permalink**) 26/05/2002, 23:08

Torus ha dicho:
----------------------------------------------------------
solo diré que en el peor de los casos devuelve el contenido de toda la bd, pero que estoy dispuesto a decírselo vía mail al que lo desee, así como la solución .
----------------------------------------------------------
(Sic)

Saludos

Hay tanto que aprender y tan poco tiempo

Torus · #16 (**permalink**) 26/05/2002, 23:14

Venga Nochero, tienes toda la razon, si quereis saber la solucion al problema pinchais en:
<a href='ir.asp?http://www.macromedia.com/support/ultradev/ts/documents/login_sb_security.htm' target='_blank'>http://www.macromedia.com/support/ultrad...</a>
Y veis la solucion, que parece que es lo que importa.
Si no sabeis ingles lo siento ;-(
Nunca pense que postear fuese tan dificil
Saludos

Hay tanto que aprender y tan poco tiempo

urjose · #17 (**permalink**) 26/05/2002, 23:20

Gueno,

Pa empezar el título esta mal, pues no es problema de ASP

Cita:

ATENCION Problema de seguridad en ASP

mmm como que ni siquiera es problema de ASP.

CDT. Soy tan feliz, arriba el América cabrones!

<center><img src="http://www.pcmasmas.com.ar/foro/images/avatars/043.gif"><br>
Urjose</center>

AlZuwaga · #18 (**permalink**) 26/05/2002, 23:52

Cita:

Yo mismo: no es un problema de seguridad en ASP... es un descuido del programador

Además, no estaba hablando de ningún soft en particular ya que yo recaí en ese error tipeando todo mi código en el, por decirlo de alguna manera, notepad (en realidad en la vista HTML del frontpage)

Pero... que es lo ideal? Alertar al usuario de macromedia o explicar el por qué de esto?

Un muy buena explicación del por qué la leí en datahack.com

Recién ahí me di cuenta de mi propio error, cómo solucionarlo y lo mas importante: Recordarlo para el futuro

saludos

Nochero · #19 (**permalink**) 27/05/2002, 00:10

Satamente dazu :

1. que es un "error" o tema a tener en cuenta en cualquier lenguaje ( tambien lo lei de datafull

)

2. Creo se deberia comunicar ante un hueco la situacion y su solucion, si hubiere, pero textualmente y para que lo lean todos. No creo que algun gran pillo recurra a este foro unicamente para estar al dia en sus malos propositos, pero si, nosotros los programadores y webmasters debemos estar informados antes que ellos lo hagan

3. Que hacen que no estan durmiendo a esta hora ?

gibson · #20 (**permalink**) 27/05/2002, 00:22

yo tambien me apunto...mi correo es [email protected].

dajacevit · #21 (**permalink**) 27/05/2002, 01:25

Haber

Yo tambien me apunto

[email protected]

Saludos

Laika · #22 (**permalink**) 27/05/2002, 02:38

Yo tambien

[email protected]

<center><embed src="http://www.efrance.fr/cria/fotos/firma.swf" height=78width=398>
</embed></center>

Torus · #23 (**permalink**) 27/05/2002, 06:48

No entiendo lo que pasa con ustedes, mi única intención es echar una mano a todos los que no sois tan "profesionales" y encima criticáis por eso, ¿quizás debería de callar y no preveniros de ese fallo? Si ustedes lo sabían ¿por qué no lo postearon? O es que la inseguridad acecha, y no podemos compartir lo que se sabe por miedo a que los demás sepan mas que nosotros.
De acuerdo que él titulo alarma, pero es un buen reclamo para que te presten atención (ustedes lo hicieron) que el fallo es de un programa esta posteado en el primer post (hay que leer y comprender)
Nos olvidamos de cosas como:

2Principiante: ¿Que es un CGI?, Para que sirve? Que se puede <a href='ir.asp?http://www.forosdelweb.com/mensaje.asp?id=59024&r=' target='_blank'>http://www.forosdelweb.com/mensaje.asp?i...</a>
Instalación: Mis primeros pasos en PHP
<a href='ir.asp?http://www.forosdelweb.com/mensaje.asp?id=68221&r=19' target='_blank'>http://www.forosdelweb.com/mensaje.asp?i...</a>
Cuantos sitios conocen que utilizen XML ?
<a href='ir.asp?http://www.forosdelweb.com/mensaje.asp?id=65634&r=10 ' target='_blank'>http://www.forosdelweb.com/mensaje.asp?i...</a>
Y olvidamos que nadie tiene la obligación de nacer “aprendido”
Bueno con esto cierro por mi parte esta discusión que sin buena voluntad no nos llevara a ningún sitio, lo dicho el que quiera la solución al problema la dirección es <a href='ir.asp?http://www.macromedia.com/support/ultradev/ts/documents/login_sb_security.htm' target='_blank'>http://www.macromedia.com/support/ultrad...</a>

Hay tanto que aprender y tan poco tiempo

Nochero · #24 (**permalink**) 28/05/2002, 00:44

Tanto tiempo te has pasado posteando que hubieras expuesto el problema de una y ya

No lo tomes a mal, pero es que como tu dices, nos has alarmado a todos por algo que es conocido por muchos, sin ser craneos.
Entonces si pones un Tip, detalla puntualmente que hay que hacer.

Y ya que estamos de links aqui comentamos y dimos las soluciones sobre este tema en particular :

http://www.forosdelweb.com/mensaje.asp?id=70601&r=2

http://www.forosdelweb.com/mensaje.asp?id=48878&r=11

saludosatodos

Nochero · #25 (**permalink**) 28/05/2002, 00:45

Tanto tiempo te has pasado posteando que hubieras expuesto el problema de una y ya

No lo tomes a mal, pero es que como tu dices, nos has alarmado a todos por algo que es conocido por muchos, sin ser craneos.
Entonces si pones un Tip, detalla puntualmente que hay que hacer.

Y ya que estamos de links aqui comentamos y dimos las soluciones sobre este tema en particular :

<a href='ir.asp?http://www.forosdelweb.com/mensaje.asp?id=70601&r=2' target='_blank'>http://www.forosdelweb.com/mensaje.asp?i...</a>

<a href='ir.asp?http://www.forosdelweb.com/mensaje.asp?id=48878&r=11' target='_blank'>http://www.forosdelweb.com/mensaje.asp?i...</a>

saludosatodos

ideafix · #26 (**permalink**) 28/05/2002, 04:30

Me interesa saber sobre el tema.

Mandamelo cuando puedas.

Un saludo.
Ideafix.

[email protected]

danipermuy · #27 (**permalink**) 28/05/2002, 05:00

joder Nochero, pobre Torus!!! Gracias por la ayuda Torus.
Me permito contestar a Nochero.
Aunque el procedimiento normal de este foro sea problema-solución, temas que tienen que ver con la seguridad, como es este mismo, son de un gran interes y es normal que se posteen sin que nadie pregunte; principalmente pq cuando tienes un fallo de seguridad LO DESCONOCES y si no sabes que tienes un error díficilmente podrás buscar una respuesta; Torus ha hecho muy bien en postear el mensaje y no se merece ninguna critica ni ningún desplante aunque también es cierto que la idea de mandar la solución por mail no tiene sentido alguno, lo que hay que hacer es postearla.

danipermuy · #28 (**permalink**) 28/05/2002, 05:04

Gracias Torus, la gente como tú mola; Los listillos como

no molan.

Torus · #29 (**permalink**) 28/05/2002, 06:43

Nochero no veo normal la bronca que te traes con migo, Tu sabias el problema bien, no lo posteaste, vale, y que...
Yo sí.
Tu sabes mucho de esto (no lo dudo) yo se mucho menos que tu (fijo) ¿y que?.
Yo lo poquísimo que se me gusta compartirlo y aunque acudo al foro por ayuda, siempre trato de ayudar si puedo.
Por otra parte tienes razón me gusta postear, parece ser que té molesta (lo siento) pero voy a seguir haciéndolo y a lo mejor, quizá en algún momento te pueda echar una mano.
No se puede ser siempre la novia en la boda ni el muerto en el funeral

Para terminar con el problema daré la solución, (por supuesto no daré la forma de comprobarlo).
Sólo hay que modificar la manera en que se recuperan los datos de usuario y clave en la página ASP. Por ejemplo, de la siguiente manera:

str_usuario = Replace(Request.Form("usuario"),"'& quot;,"")
str_clave = Replace(Request.Form("clave","'&quo t;,"")

Observar que se ha añadido la función Replace de VBScript. Esta función reemplazará cada comilla simple que pueda llegar a ingresar el usuario por una cadena vacía (en pocas palabras, se eliminan las comillas simples). Así, se evitará que un usuario pueda interceptar la consulta SQL y agregar código propio. Notar que quedan prohibidas las comillas simples en los valores de usuario y clave.
Para los usuarios de UltraDev solo hay buscar la siguiente línea de código

MM_rsUser.Source = MM_rsUser.Source y " de login_table DONDE username_field = '" y MM_valUsername y "' Y password_field = '" y "password_textbox " de CStr(Request.Form()) y "'"

Y remplazarla por esta otra:

MM_rsUser.Source = MM_rsUser.Source y " de login_table DONDE username_field = '" y Replace(MM_valUsername,"'","''&quot ;) y "' Y password_field = '" y Replace(Request.Form(" password_textbox "),"'","''") y "'"

Bueno y con esto doy por finalizado el tema.
Bye.

Hay tanto que aprender y tan poco tiempo

Torus · #30 (**permalink**) 28/05/2002, 06:55

Gracias danipermuy
Es mi forma de ser y de pensar, para mi es mas fácil postearlo que enviar correos cada vez que me lo solicitan, pero creo que lo mejor es esto y así lo hago, a ver si ahora no podemos postear lo que creamos oportuno (dentro de los limites establecidos) sin que un dictador nos diga lo que tenemos que hacer y como hacerlo, Yo no me atrevería nunca a decir a nadie como se tiene que ayudar a los demás. Ayudaría y punto.
Por cierto hay alguno que no le envié el i-mail como a Laika,htorres,rashid,etc ahora ya lo tienen aquí.
Saludos

Hay tanto que aprender y tan poco tiempo