ورود

View Full Version : سوال: امنيت : اتصال به ديتابيس


binyaz2003
جمعه 16 اسفند 1387, 12:21 عصر
سلام
آيا در asp ميتونند محتويات يک فايل asp رو ببينند.مثلا من در يکي از سايتهام مشخصات اتصال به ديتابيس رو در يک فايل asp ريختم و در فايلهايي که نياز دارم بصورت اسم کامل نه بوسيله متغيير اون رو include ميکنم.
( مثلا در php مخصوصا در سيستم هاي نيوک ميگن ميشه و براي جلوگيري از اين کار فايل config.php رو بطرق مختلف کد ميکنند )
حالا ديدم که دوتا از جدولهاي ديتابيس پاک شده.
آيا با sql injection ميشه اين کار رو کرد؟
اما من ورودي ها رو چک ميکنم ؟ نميدونم چرا اينجوري شده؟
kashaneh
جمعه 16 اسفند 1387, 13:13 عصر
دوست عزیز امکان مشاهده کدها به صورتی که طرف بخواد با View Source به اتصالات دیتابیس یا کدهای دیگر دسترسی پیدا کند وجود ندارد وگرنه سنگ روی سنگ بند نمی شد... احتمالا فایلی که در اون تنظیمات رو انجام می دهی یا به صورت یک فایل inc. بوده که به طور مستقیم مثل فایل txt قابل دریافته و یا اینکه شخصی به این فایل به نحوی دیگر دسترسی پیدا کرده است...
در ضمن در موارد نادری هم ممکن است به علت اشتباه و سهل انگاری طراح، فایل های بانک اطلاعاتی در شاخه ای غیر از شاخه db یا هر شاخه امن دیگری که سرور توصیه می کند فایل های داده ای در آنجا قرار بگیرند قرار گیریند، آنگاه هر کسی از هر موقعیتی حتی خارج از محیط سرور می تواند روی آن کنترل داشته باشد...
سوالم از شما اینه که نوع بانک اطلاعاتی شما چیست؟

موفق باشی
binyaz2003
جمعه 16 اسفند 1387, 14:45 عصر
من اطلاعات رو در فايلي به اسم config.asp دارم.
ديتابيسمم sql server 2005 هست نه اکسس.
ممنون
binyaz2003
یک شنبه 18 اسفند 1387, 10:07 صبح
کسي موردي به ذهنش نميرسه؟
mehdi.mousavi
یک شنبه 18 اسفند 1387, 10:20 صبح
کسي موردي به ذهنش نميرسه؟

سلام.
البته که میشه جداول رو پاک کرد (اگر برنامه شما تحت Security Context ای اجرا بشه که این اجازه رو داشته باشه، اونوقت یه مهاجم هم میتونه این کارو کنه. چون اونهم در واقع داره تحت همون Security Context به سیستم متصل میشه). کافیه سایت شما حداقل در برابر یک SQL Injection آسیب پذیر باشه. اونوقت دیگه نیازی به دونستن ID و PWD اتصال به بانک نیست. قبل از هر چیز، و برای اطمینان بیشتر، ابتدا Log File های سرور رو بررسی کنید. اونجا همه Request ها ثبت بهمراه تاریخ و IP و ... ثبت شده و بهتون نشون میده که قدم بعدی رو در چه جهتی باید بردارید.

اگر سرور دست خودتون هستش، میتونید از نرم افزار dot Defender استفاده کنید، که تقریبا کلیه ایرادهای SQL Injection، XSS و ... رو براتون لیست میکنه و کار رو بسیار راحت تر میکنه. (نسخه 30 روزه اش Full Functional هست). اما اگر سرور در اختیار خودتون نیست، بررسی Log File ها بهترین نقطه شروعه.

موفق باشید.