عاجل جدا جدا ... تم اختراق موقعي

aja · 19-07-2010, 01:18 AM

السلام عليكم و رحمة الله

مسوي موقع بلغة asp و مسوي صفحة مراسلة مسميها contact.asp

و في هذه الصفحة يختار الزائر المسؤول المراد مراسلته

كما يلي

http://localhost/aja/contact.asp?id_contact=26

و تم اختراق الموقع عن طريق الاوامر

1. رابط استغلال لثغره لاظهـار user

http://localhost/aja/contact.asp?id_...7,8 FROM ADMIN

2. رابط استغلال لاظهـار password

http://localhost/aja/contact.asp?id_...7,8 FROM ADMIN

ما هي الحلول المقترحة لمعالجة هذا الاختراق ؟؟؟

Blue_Red · 19-07-2010, 04:49 AM

ابحث في غوغل عن Formatsqlinput
وظيفة استخدمها قبل الحصول على اي طلب .

كود:

 sqlstr = "select * from users where id = " 
& formatsqlinput(request("contact_id"))

sayedtdm · 20-07-2010, 01:54 AM

أفضل شيء هو إستخدام Stored Procedure للتعامل مع قواعد البيانات فهي تعطي أكبر قدر من الكفاءه وأكبر قدر من السرية. وكحل سريع يجب إختبار المعاملات أنها رقميه قبل إضافاتها الي جملة SQL

aja · 20-07-2010, 02:33 AM

إقتباس:

المشاركة الأصلية بواسطة Blue_Red

ابحث في غوغل عن Formatsqlinput
وظيفة استخدمها قبل الحصول على اي طلب .

كود:

sqlstr = "select * from users where id = " & formatsqlinput(request("contact_id"))

اخي الكريم شكرا لتجاوبك معي

و لكن للأسف لم أفهم ما تقصد !!

aja · 20-07-2010, 02:33 AM

إقتباس:

المشاركة الأصلية بواسطة sayedtdm

أفضل شيء هو إستخدام Stored Procedure للتعامل مع قواعد البيانات فهي تعطي أكبر قدر من الكفاءه وأكبر قدر من السرية. وكحل سريع يجب إختبار المعاملات أنها رقميه قبل إضافاتها الي جملة SQL

اخي الكريم شكرا لتجاوبك معي

و لكن للأسف لم أفهم ما تقصد !!

ممكن مثال للتبسيط مشكورن سلفاً

moh_elferg · 20-07-2010, 09:22 PM

إقتباس:

المشاركة الأصلية بواسطة aja

اخي الكريم شكرا لتجاوبك معي

و لكن للأسف لم أفهم ما تقصد !!

ممكن مثال للتبسيط مشكورن سلفاً

علي ما اعتقد
الستورد بروسيدجر
هو ما يسمي بالاجراء المخزن
يتم عملة في قاعدة البيانات
واستدعائه
لست متاكد من المعلومة ارجو تصحيها ان كنت مخطأ
مثلا
كل حدث
زي insert
update
delete
كل واحد ليه ستورد بروسيدجر
ويتم استدعائه

aja · 21-07-2010, 02:02 AM

إقتباس:

المشاركة الأصلية بواسطة moh_elferg

علي ما اعتقد
الستورد بروسيدجر
هو ما يسمي بالاجراء المخزن
يتم عملة في قاعدة البيانات
واستدعائه
لست متاكد من المعلومة ارجو تصحيها ان كنت مخطأ
مثلا
كل حدث
زي insert
update
delete
كل واحد ليه ستورد بروسيدجر
ويتم استدعائه

أخي الكريم moh_elferg

شكرا لك و لكني حتى الان لم اجد الجواب الشافي !!

moh_elferg · 21-07-2010, 08:50 AM

http://vb4arab.com/vb/showthread.php?t=29882

المواضيع المشابهه
الموضوع	كاتب الموضوع	القسم	الردود	آخر مشاركة
تم اختراق موقعي من قبل الشيعة	خليل سليم	القسم العام	10	20-10-2008 05:02 PM
هل تم اختراق موقعي ؟	bilba	الويب والويب 2.0 والـ Semantic Web	4	02-05-2006 09:37 PM
عاجل عاجل اختراق موقع الجريده الدنمركيه	مشعل نت	القسم العام	0	27-01-2006 09:13 PM
اختراق موقعي	العين2020	الويب والويب 2.0 والـ Semantic Web	19	08-07-2005 01:10 PM
خبر عاجل اختراق كواليتي نت..	yam90	القسم العام	9	30-06-2004 11:11 AM

أدوات الموضوع
مشاهدة نسخة مطبوعة إرسال هذه الصفحة