النتائج 1 إلى 3 من 3

الموضوع: عندي مشكلة في صلاحيات الأعضاء

  1. #1
    عضو نشيط جدا
    تاريخ التسجيل
    Jul 2002
    المشاركات
    314

    عندي مشكلة في صلاحيات الأعضاء



    السلام عليكم ،،

    أستخدم برنامج دعم فني ticket system مبرمج محلياً بلغة ASP ، بحيث يستطيع أي مستخدم إرسال إستفسار ticket ثم تقوم إدارة الموقع بالرد عليه ، المشكلة أن المستخدم بعد ما يدخل باسمه و كلمة المرور يقدر يشوف تيكت مرسل من مستخدم آخر بمجرد وضع رقم التيكت في شيط العنوان ، مثال :

    viewticket.asp?status=CLOSE&TID=5648

    الـ TID هو رقم التيكيت وبمجرد تغييره إلى أي رقم يمكن الإطلاع على إستفسارات و رسائل الآخرين.

    هذا هو محتوى ملف auth.asp :

    كود:
    <%
    ' *** Restrict Access To Page: Grant or deny access to this page
    MM_authorizedUsers=""
    MM_authFailedURL="../errorpage.asp"
    MM_grantAccess=false
    If Session("LOGIN") <> "" Then
      If (true Or CStr(Session("MM_UserAuthorization"))="") Or _
             (InStr(1,MM_authorizedUsers,Session("MM_UserAuthorization"))>=1) Then
        MM_grantAccess = true
      End If
    End If
    If Not MM_grantAccess Then
      MM_qsChar = "?"
      If (InStr(1,MM_authFailedURL,"?") >= 1) Then MM_qsChar = "&"
      MM_referrer = Request.ServerVariables("URL")
      if (Len(Request.QueryString()) > 0) Then MM_referrer = MM_referrer & "?" & Request.QueryString()
      MM_authFailedURL = MM_authFailedURL & MM_qsChar & "accessdenied=" & Server.URLEncode(MM_referrer)
      Response.Redirect(MM_authFailedURL)
    End If
    %>
    ويتم إستدعاءه في ملف عرض التيكيت viewticket.asp :

    كود:
    <!--#include file="auth.asp"-->
    كيف ممكن أعالج هذه الثغرة الأمنية ؟ وكيف أوجه الملاقيف و الهاكرز إلى صفحة الخطأ أو صفحة "أنت غير مخول بالإطلاع على هذه الصفحة" ؟





    __________________
    عرب زووبس - www.arabxoops.com


  2. #2
    عضو نشيط
    تاريخ التسجيل
    Dec 2004
    المشاركات
    220


    :1power:

    ليتني اعرف ASP
    انا اعرف ASP.NET
    ولا كنت ساعدتك ، لكن المشكله في صفحة عرض التيكت
    هي اللي تحتاج تحقق :con2:





    __________________
    المروه.نت تقديم خدمات تقنية المعلومات و التجارة الالكترونية
    www.almarwa.net.sa

  3. #3
    عضو نشيط
    تاريخ التسجيل
    Dec 2001
    المشاركات
    64


    يمكن تعالجها أن تفتح الداتا وتشوف هل الرقم يخص الشخص نفسه والا واحد ثاني . بعدين تحط الشرط ...


    ارسل لي الصفحة ..
    :con2:










ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض