| Autor |
Mensagem |
![[Post New]](/templates/default/images/icon_minipost_new.gif) 13/10/2007 14:07:30
|
goofed
Thread.start()
Membro desde: 14/08/2007 18:18:23
Mensagens: 36
Offline
|
Oi pessoal...
Antes queria pedir que não deixassem de ler a mensagem só porque tem a palavra ASP do texto abaixo:
Eu estava estudando ASP ontem e comecei a acessar meu banco de dados com o ASP...
Bem, eu estou estudando ASP loucamente porque vou fazer um "teste de código" em uma empresa na terça.
Então comecei a pensar sobre SQL Injection, e simulei alguns nos cadastro que estava fazendo aqui pra aprender...
Então pensei sobre barrar parte do SQL Injection usando Javascript, mas ai eu pensei: Mas acho que deve dar pra tirar do caminho a checagem do Javascript. Então pensei, vou ver se tem algum site em ASP por aí pra ver se realmente dá pra fazer isso.
O primeiro site que me veio na cabeça foi o site da empresa onde vou fazer o teste que já tinha visto que era em ASP quando fui mandar o currículo... Por impulso fui lá no site da empresa e tentei fazer um teste de SQL Injection direto na pagina, ele já fazia a checagem em JavaScript como eu já suspeitava. Mas o que eu queria saber era se era possível tirar o JavaScript do jogo pois assim teria que fazer a checagem no código ASP também.
Por azar meu, realmente foi possível. Mas eu acredito que havia checagem novamente no código ASP porque deu usuário e senha inválidos.
Aí que vem a preocupação: Logo abaixo tinha: "Seu IP foi gravado para auditoria"
Nossa, depois que vi isso tô com medo até agora. Eu não sei se o código que escrevi no usuário e senha daria certo pois coloquei sem pensar direito.
Bem, eu não sei se eles saberiam se eu conseguisse entrar, mas se eu conseguisse logar, eu ia fechar na hora.
Queria saber de vocês se pode acontecer algo comigo. 
O que você faria se tivesse no meu lugar?
De uma coisa eu sei, nunca mais vô me meter a "hacker". Só essa sensação de insegurança tira totalmente minha tranquilidade. 
Muito obrigado!
This message was edited 1 time. Last update was at 13/10/2007 14:11:55
|
|
|
 |
|
|
13/10/2007 15:25:09
|
flavi0
JavaTeenager
Membro desde: 16/09/2006 10:01:18
Mensagens: 150
Offline
|
você possui IP fixo?
por um acaso é o mesmo IP que você usou para mandar o curriculo??
|
|
|
|
13/10/2007 15:30:36
|
Luca
Moderador
![[Avatar]](/images/avatar/17e62166fc8586dfa4d1bc0e1742c08b.jpg)
Membro desde: 06/09/2002 14:30:10
Mensagens: 5810
Localização: São Paulo/SP ou Paraty/RJ
Offline
|
Olá
http://xkcd.com/327/
http://www.youtube.com/watch?v=MJNJjh4jORY
http://www.acunetix.com/websitesecurity/sql-injection.htm
[]s
Luca
This message was edited 2 times. Last update was at 13/10/2007 15:31:40
|
Dare Obasanjo (Program Manager at Microsoft)
"The folks I know from across the industry who have to build large scale Web services on the Web today at Google, Yahoo!, Facebook, Windows Live, Amazon, etc are using RESTful Web services. The only times I encounter someone with good things to say about WS-* is if it is their job to pimp these technologies or they have already "invested" in WS-* and want to defend that investment."
CEP, JMS, JMX e coisas afins (ou não)
http://lucabastos.blogspot.com/ |
|
|
|
13/10/2007 15:59:34
|
goofed
Thread.start()
Membro desde: 14/08/2007 18:18:23
Mensagens: 36
Offline
|
flavi0
Não, eu uso velox. E o IP que mandei o curriculo não é o mesmo porque havia enviado outro dia.
Mas não acho que esse seja o problema pois: Provavelmente quando alguem colocar usuario e senha inválidos, le grava numa tabela do banco o usuario e a senha que foram testados e o IP.
Como o usuario e a senha tem codigo de sql injection, o perigo mora aí...
Quando eles forem ver, vão querer saber quem tentou fazer isso, OU não.
E se eles forem atrás, acho que eles tem que pedir pra Velox fornecer os meus dados. Acho que nesse caso a Velox fornece, OU nao.
É isso que quero saber: A que eu estou sujeito por essa tentativa sem sucesso?
A proposito, o site www.ipgeo.com.br mostra aproximadamente a cidade que corresponde ao IP.
Luca
Eu estou mais com medo do que com vontade de rir.
E esse vídeo ai foi exatamente o que eu fiz. Só que já tinha lido sobre reter SQL Injection em JavaScript e nunca tinha visto ninguém falando que era possível fazer essa "gambiarra". Era como se eu fosse descobrir que tudo o que falavam na internet pra barrar SQL Injection tinha ainda sim uma falha.
|
|
|
|
13/10/2007 16:09:05
|
Luca
Moderador
Membro desde: 06/09/2002 14:30:10
Mensagens: 5810
Localização: São Paulo/SP ou Paraty/RJ
Offline
|
Olá
goofed wrote:Eu estou mais com medo do que com vontade de rir.
Não esquenta, esquece. Continua estudando que isto não vai dar em nada.
Se eles descobrirem, fale a verdade. Conte o que contou para nós. Se eles não gostarem é porque precisam de gente burra e conformada que não parece seu caso.
[]s
Luca
|
Dare Obasanjo (Program Manager at Microsoft)
"The folks I know from across the industry who have to build large scale Web services on the Web today at Google, Yahoo!, Facebook, Windows Live, Amazon, etc are using RESTful Web services. The only times I encounter someone with good things to say about WS-* is if it is their job to pimp these technologies or they have already "invested" in WS-* and want to defend that investment."
CEP, JMS, JMX e coisas afins (ou não)
http://lucabastos.blogspot.com/ |
|
|
|
13/10/2007 16:22:13
|
goofed
Thread.start()
Membro desde: 14/08/2007 18:18:23
Mensagens: 36
Offline
|
Luca
Valeu kra. Valeu mesmo... Só em ver essas palavras já me tranquiliza mais. Tô loco pra estudar mas nao paro de pensar nisso. Vo ficar lembrando ae das suas palavras...
Num será que ninguém aqui no fórum já fez uma besteira dessas pra me dar um consolo não?!
Só digo uma: NUNCA FAÇAM ISSO EM CASA, NO TRABALHO, NA FACULDADE!!! E LEMBRE-SE: PENSE NAS CONSEQÜÊNCIAS ANTES DE FAZER ALGO DO TIPO!!!
|
|
|
|
14/10/2007 08:52:15
|
rodrigo_corinthians
JavaEvangelist
![[Avatar]](http://www.gravatar.com/avatar/77be386e03dbbf474260851939da4e27.png)
Membro desde: 07/06/2005 12:01:01
Mensagens: 316
Offline
|
Cara relax véio se concentra nos estudos, vc não cometeu nenhum crime por causa disso... 
Te garanto que quase todos aqui do fórum já tentaram burlar sistemas fazendo isso dentro das empresas e ninguém(ou quase) foi punido. 
Boa sorte!
|
|
|
|
14/10/2007 14:06:31
|
ramilani12
GUJ Master
![[Avatar]](/images/avatar/b597460c506e8e35fb0cc1c1905dd3bc.png)
Membro desde: 11/03/2005 01:23:30
Mensagens: 1944
Localização: Curitiba-PR
Offline
|
rodrigo_corinthians wrote: Te garanto que quase todos aqui do fórum já tentaram burlar sistemas fazendo isso dentro das empresas e ninguém(ou quase) foi punido.
bem ético vc hein?
This message was edited 1 time. Last update was at 14/10/2007 14:06:59
|
 my delicious| follow me| linkedin |
|
|
|
14/10/2007 18:22:56
|
rogeriop80
JavaEvangelist
![[Avatar]](/images/avatar/ec47a5de1ebd60f559fee4afd739d59b.png)
Membro desde: 20/04/2004 17:10:50
Mensagens: 313
Localização: Caçapava/SJC - SP
Offline
|
ramilani12 wrote:
rodrigo_corinthians wrote: Te garanto que quase todos aqui do fórum já tentaram burlar sistemas fazendo isso dentro das empresas e ninguém(ou quase) foi punido.
bem ético vc hein?
Amigão,
Pode até não ser ético, mas a preocupação com a segurança do aplicativo também deve ser prioridade. E a ética de quem codificou o sistema ?
Lembre-se que você, eu, o amigo que comentou ai e você criticou podemos ter éticas, mas existem muitas pessoas que não tem, e o fato do sistema ser vulneravel é o que realmente é preocupante.
Att,
|
Rogério Peres Gomes
E TENHO DITO ! |
|
|
|
14/10/2007 18:29:22
|
Luca
Moderador
Membro desde: 06/09/2002 14:30:10
Mensagens: 5810
Localização: São Paulo/SP ou Paraty/RJ
Offline
|
Olá
Concordo com o Rogério, a ética ou a falta dela está na intenção e não no ato em si. Fazer um testinho é muito diferente de tentar invadir com interesses escusos. Até porque quem realmente quer fazer algo errado não deixa rastros sobre seu próprio IP de uma maneira muito na cara.
[]s
Luca
|
Dare Obasanjo (Program Manager at Microsoft)
"The folks I know from across the industry who have to build large scale Web services on the Web today at Google, Yahoo!, Facebook, Windows Live, Amazon, etc are using RESTful Web services. The only times I encounter someone with good things to say about WS-* is if it is their job to pimp these technologies or they have already "invested" in WS-* and want to defend that investment."
CEP, JMS, JMX e coisas afins (ou não)
http://lucabastos.blogspot.com/ |
|
|
|
14/10/2007 19:40:41
|
ramilani12
GUJ Master
Membro desde: 11/03/2005 01:23:30
Mensagens: 1944
Localização: Curitiba-PR
Offline
|
rogeriop80 wrote:
ramilani12 wrote:
rodrigo_corinthians wrote: Te garanto que quase todos aqui do fórum já tentaram burlar sistemas fazendo isso dentro das empresas e ninguém(ou quase) foi punido.
bem ético vc hein?
Amigão,
Pode até não ser ético, mas a preocupação com a segurança do aplicativo também deve ser prioridade. E a ética de quem codificou o sistema ?
Lembre-se que você, eu, o amigo que comentou ai e você criticou podemos ter éticas, mas existem muitas pessoas que não tem, e o fato do sistema ser vulneravel é o que realmente é preocupante.
Att,
Rogerio vc não entendeu , o cara deu uma opiniao que "quase todos" tentaram burlar algum tipo de sistema , como ele garante isso? qual embasamento ele fala por todos?
É este meu questionamento... 
|
my delicious|follow me|linkedin |
|
|
|
14/10/2007 21:46:10
|
rodrigo_corinthians
JavaEvangelist
Membro desde: 07/06/2005 12:01:01
Mensagens: 316
Offline
|
ramilani12 quando disse que quase todos já tentaram eu generalizei é óbvio mas foi a forma de se expressar dizendo que não é uma coisa do outro mundo quem já fez isto e é claro que não falo por todos até porq conheço poucos do fórum pessoalmente...
E como os amigos já comentaram acima fazer um testezinho de Sql Injection numa aplicação na minha opinião acho totalmente normal até porq se tiver um problema fazeria questão de resolver ou apontar como Cr porque segurança é muito importante pra qualquer aplicação, o que vc prefere descubrir o erro e corrigir antes no desenvolvimento ou deixar subir pra produção e o cliente correr o risco de integridade dos dados??
Tá vendo como a sua opinião crítica fugiu totalmente do assunto inicial do tópico e quase gerou um flame war, dá próxima vez que quiser criticar alguém favor mande uma mensagem em pvt.
Valew!!!
|
|
|
|
15/10/2007 13:50:09
|
goofed
Thread.start()
Membro desde: 14/08/2007 18:18:23
Mensagens: 36
Offline
|
Nossa galera, relaxa!
Primeiramente gostaria de agradecer de coração só por vcs terem lido. Mto obrigado mesmo. Principalmente ao colega que me tranquilizou com o fato de eu não ter cometido um crimo. Que alivio ouvir isso de outra pessoa... Porque falar isso pra si mesmo é mesmo que nada... hehe
Sobre isso de ter intenção, eu sei que existem mil maneiras de deixar o mínimo possível de rastros. O meu medo é que o pensamento da "pessoa do outro lado" seja: "Não podemos perder a oportunidade de pegar um hacker que deu bandeira."
Sobre a questão de testar a segurança da própria aplicação eu acho o seguinte... Existem vagas por aí para Testers. Não sei exatamente como trabalha um tester, mas EU ACHO (não tenho certeza) de que ele tem que saber algo sobre segurança também... Afinal, um usuário comum pode digitar algo comprometedor sem intenção também.
|
|
|
|
|
|
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[Email]](/templates/default/images/icon_email.gif){kind=icon}
![[WWW]](/templates/default/images/icon_www.gif){kind=icon}
![[ICQ]](/templates/default/images/icon_icq_add.gif){kind=icon}
![[MSN]](/templates/default/images/icon_msnm.gif){kind=icon}