Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,027

HOME > .NET Framework > Forum > เว็บโดนโจมตี...ทำไงดีครับ คือว่าเว็บผมทำด้วย asp ครับ เว็บที่ทำก็ง่ายๆคือมีการ Login แล้วก็ใส่ Password



 

เว็บโดนโจมตี...ทำไงดีครับ คือว่าเว็บผมทำด้วย asp ครับ เว็บที่ทำก็ง่ายๆคือมีการ Login แล้วก็ใส่ Password

 



Topic : 004555

Guest




คือว่าเว็บผมทำด้วย asp ครับ เว็บที่ทำก็ง่ายๆคือมีการ Login แล้วก็ใส่ Password ซึ่งมันจะตรวจสอบกับฐานข้อมูลครับว่าชื่อที่ Login กับ Password นั้นมันตรงกันหรือป่าว ซึ่งเมื่อชื่อที่ Login กับ Password ตรงกัน ระบบก็จะทำการตั้งค่า session โดยนำชื่อที่ Login มาตั้งค่า session ดังตัวอย่าง

if session = "" then
response.redirect "gallery.asp"
else
...

คราวนี้เพื่อนผมคนนี้มันก็บุกเข้ามาในส่วนที่ต้อง Login ได้โดยที่มันไม่รู้ชื่อที่ต้องใช้ Login แล้วก็ไม่รู้ Password โดยที่มันบอกใบ้กับผมดังนี้ครับ

1. ถ้าโดนป้องกันตรงจุดนี้ สงสัยต่อไปอีก 1-10 ปี เราคงหาวิธีเข้ารหัสไม่ได้ ขอเก็บไว้รู้คนเดียวนะ
2. จริงๆแล้ว เพิ่งหัดลองวิธีการหาช่องโหว่จาก Code เนี่ยแหละ ถ้าใช้ asp.net เราคงจนปัญญา

มันใบ้มา 2 ข้อ ผมเลยอยากรู้ว่าโค้ดของผมมันน่าจะมีช่องโหว่จากตรงไหนได้บ้างครับ ช่วยที อยากจะบล็อคมันให้ได้ครับ





Tag : - - - -






Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 29 มิ.ย. 2548 20:28:23 By : CUD View : 3085 Reply : 8
 

 

No. 1

Guest


คุณทำเว็บ แบบว่า ถ้าผมป้อน www.xxx.com/nextpage จะเข้าสู่หน้าต่อไปได้เลยโดยไม่ต้อง เช็ค password หรือเปล่า ล่ะครับ และเวลา คุณเก็บค่า password เข้าสู่ฐานข้อมูลนั้นคุณได้ทำการเข้ารหัส md5 หรือว่าวิธีใด บ้างหรือเปล่าครับ แต่ละหน้าให้คุณเช็คค่า login = true ไปด้วยครับ ถ้าไม่ได้ login จะมีค่าเท่ากับ false ครับ เท่านี้ดูเพื่อน ๆ คุณ จะสามารถเข้าสู่เว็บของคุณโดยไม่ต้อง login ได้ หรือเปล่าครับ





Date : 30 มิ.ย. 2548 08:29:56 By : Max@77
 


 

No. 2

Guest


1. คือว่าคุณอาจจะเขียน รหัสผ่าน อยู่บน Code ป่าวครับ ถ้าเป็นแบบนี้ก็เขียน script ป้องกันการดู Code
2.ถ้ารหัส อยู่ใน Data base ก็เข้ารหัส Data base ครับ
3.ตรวจสอบการ login ทุกหน้าของ Code
4.ทำ Session กับทุกหน้า
คิดว่างั้นนะครับ ช่วยบอกได้แค่นี้แหละ อย่าว่านะ เราก็เพิ่งหัดเขียนเหมือนกัน
Date : 30 มิ.ย. 2548 09:46:02 By : จ๋อม
 

 

No. 3

Guest


ปกติแล้วถ้าจะป้องกันดี ๆ ก็ให้ check user กับ password ทุก ๆหน้าครับ
Date : 30 มิ.ย. 2548 09:57:21 By : X
 


 

No. 4

Guest


ขอดู code หน่อยได้ไหมครับ เอาหน้าที่คุณวางเงื่อนไนในการตรวจสอบจากหน้าที่ login ส่งค่าเข้าไปอ่ะครับ
Date : 1 ก.ค. 2548 13:31:31 By : เด็ดเหนือ
 


 

No. 5

Guest


กรณีนี้ผมว่า SQL INJECTION แหงเลยครับ - -
ลองไปกรอก Username กะ password ที่เว็บคุณตามนี้นะครับ...

username : 'or''='
pass : 'or''='

ถ้าไม่ได้กันไว้ พอเจอการล๊อกอินแบบนี้จะเป็นการล๊อกอินเข้าไปแบบสุ่มครับ(เจอมากะตัวแล้ว - -")
Date : 1 ก.ค. 2548 16:04:54 By : D-rek
 


 

No. 6

Guest


จริงๆด้วยครับ...
แล้วถ้าเราจะบล็อกเนี่ยต้องทำยังไงครับ ใช้การ replace ค่าที่ส่งเข้ามา ใช่ไหมครับ ขอบคุณมากครับที่ช่วยกันตอบ
Date : 1 ก.ค. 2548 19:43:53 By : CUD
 


 

No. 7

Guest


1. มีคนแนะนำเรามาว่า ควร ทำหน้า เช็ค ผู้ใช้ โดยการกำหนดตัวแปลเพื่อตรวจสอบ ผู้ใช้ แล้ว อินคลูด มาที่หน้าที่เราต้องการแล้วตรวจสอบค่า ของผู้ใช้โดย if else ธรรมดา
2.สังเกตุว่าเป็นการสุ่มจากผู้ใช้ที่เป็นคนแรกเสมอ เราต้องเทียบผู้ใช้คนแรกให้เป็นอะไรก็ได้แล้วตรวจสอบว่าหากเป็น password ของคนแรกจะไม่ให้ใช้
Date : 4 ก.ค. 2548 08:31:42 By : ลองทำดูนะ
 


 

No. 8

Guest


ตัวที่น่าจะมีปัญหาที่ควรจะ Replace ทิ้งก็มีดังนี้ครับ

' , < , >

เพราะ SQL Injection นี้นอกจากจะใช้โกงล๊อกอินได้แล้ว ยังใช้ Drop , Insert , Delete ฐานข้อมูลของคุณผ่านทางช่อง Form ได้ด้วยนะเออ น่ากลัวมั่ก...(-_-")

ผมจะไม่บอกว่ามันจะทำได้ยังไงนะครับ เพราะถ้ามีคนเอาไปใช้ล่ะก็...ไม่อยากคิด...
Date : 5 ก.ค. 2548 14:13:04 By : D-rek
 

   

ค้นหาข้อมูล
   
 

แสดงความคิดเห็น
Re : เว็บโดนโจมตี...ทำไงดีครับ คือว่าเว็บผมทำด้วย asp ครับ เว็บที่ทำก็ง่ายๆคือมีการ Login แล้วก็ใส่ Password
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
 Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 02
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่