ثغرة أمنية خطيرة في asp 3.0

[asp2asp]

إخوتي الأعزاء .. السلام عليكم ورحمة الله وبركاته،،

أحببت أن أنبه في هذا المقال عن ثغرة أمنية خطيرة في asp الإصدار الثالث ولا أدري هل هي تندرج على اللغات الأخرى لأنها ثغرة في نظام sql المعتمد للبحث في قواعد البيانات .. وتتمثل هذه الثغرة في استخدام المعامل % في الدخول في الحسابات السرية أو المخصصة للأعضاء المرموزة باسم مستخدم وكلمة مرور .. وقد قمت بتجربة المعامل على مواقع عديدة أفلحت التجربة في الكثير منها .. والبعض أبدى بعض المعلومات .. وقد يستغل هذا المعامل في تدمير سيرفر بكاملة إذا كان يحتوي على بيانات كثيرة .. فهو يقوم بإظهار كل ماهو موجود في قاعدة البيانات..

أخيراً لا أدري إن كانت الثغرة معروفة وهل عدلت ولكنني أعلم أن الكثير لا يعلمها وما تجاربي إلا خير برهان على ذلك.

تحياتي asp2asp

[Classic]

الف شكر على التنبية .. بس ممكن توضح الثغرة كمثال
كيفية استخدام المعامل % في الدخول في الحسابات السرية أو المخصصة للأعضاء المرموزة باسم مستخدم وكلمة

وشكرا

[Mr.Muslem]

وينك من زمان
أخي الكريم
ممكن أتشرف بمعرفتك على الماسنجر أخي asp2asp
muslem (at) dr.com

[asp2asp]

تم إضافتك أخي Mr.Muslem ...

أخي Classic لا أستطيع أن أشرح لك لأن ذلك قد يؤدي إلى عمليات تخريبية ولكن الذي يتعمق في اللغة سيفهم ما أقصده لا محاله..

[Midnight_Dancer]

الله بالخير يالحبيب

هذي مو ثغرة هذي دلاخة من المبرمج واضيف شي لمعلوماتك تقدر تستخدم " % او ؟ او * " كمان لنفس الغرض بس المبرمج يقدر يتلافى هالشي بسطر برمجي بسيط. جرب تستخدم اسلوبك مع برنامجي هذا

http://kkss.edu.sa/resm/taif.asp

تحياتي