10. februar 2006 - 23:49Der er
9 kommentarer og 1 løsning
Sikkerhed ved gæstebøger osv
Hej Nu her midt i Muhammed krisen kan jeg se at der er en masse Tyrkere og Marrokanere osv som forsøger at komme ind igennem min gæstebog et par gange og igår lykkedes det så endeligt. Alt blev slettet på serveren.
Hvad kan jeg gøre fore at sikre mig at det ikke sker igen når jeg smider backup'en ud på serveren igen?
Støv, fibre og metalliske partikler kan påvirke både uptime, levetid og driftssikkerhed. Derfor arbejder flere datacentre systematisk med contamination control.
Det er typisk dårlig programmering, eller dårlige passwords. Og det kan vel også ske at en udbyder har et sikkerhedsmæssigt dårligt system. Men de 2 første kan du gøre noget ved.
Kan du se hvilken metode de har brugt til at komme ind? hvis det er bruteforce på dine passforms, kan du jo banne et ip efter 2 fejllogins... Så skal de skaffe sige rigelige mængder proxyservere ;D Jeg siger ikke de sikrer det mere end det er, det gør det bare sværere at bruteforce... vil jeg tro :D
Nej jeg kan desværre ikke se hvordan de er er kommet ind. Måske i kan komme med idéer til at gøre koden mere sikker? Jeg er en rimelig slasket koder og det meste af nedenstående at faktisk lånt, så har jeg bare lige tilføjet lidt til at gemme IP og tjekke om IP tidligere er blacklisted:
<% if Request.QueryString("mode")="add" then %> <form action="guestbook.asp?mode=post" method="POST"> <% response.write request.servervariables("REMOTE_ADDR") %> </br> Your IP will be logged!
<% if Request.QueryString("mode")="FUCKYOU" then %> <span style="font-size: 14px; color: red; font-weight: bold;">Your IP has been blacklisted! Now FUCK OFF!!!</span></p> <%end if%>
<% if Request.QueryString("mode")="post" then %>
<% Set Conn = Server.CreateObject("ADODB.Connection") Conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=" & Server.MapPath ("db/base.mdb") strSQL = "SELECT * FROM ipblacklist ORDER BY id DESC;" set rs = Conn.execute(strSQL) Do While Not Rs.eof %>
<%if request.servervariables("REMOTE_ADDR") = RS("ip") then response.redirect "?mode=FUCKYOU" end if%>
Tak for dit enormt nedladende svar. Jeg er en rimelig slasket koder fordi jeg ikke er god nok og gerne vil lære. Så kan jeg ikke bruge til nedladende svar "så kunne du enten beskæftige dig med noget andet, eller acceptere at der kommer ubudne gæster ind." til en skid.
Jeg ser frem til konstruktive bud på hvordan jeg kan gøre det bedre, ud over at lægge databasen et andet sted.
Det er vel realiteten. Sætter du dig ikke ind i sikkerhed, kan du ikke gøre det bedre. Undskyld jeg siger sandheden. Dertil får du eet vink, omkring databasen, og du får at vide at der findes artikler om webprogrammering og sikkerhed her på eksperten. Det er da konstruktivt, ikke ;)
Nej, ikke umiddelbart. Men det er så meget andet. Er der Frontpage Extensions på, har du andre scripts, har du upload af billeder? Der er så mange steder, der kan være et lille hul.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.