Just nu i M3-nätverket
Gå till innehåll

Patrik Corneliusson

Medlem
  • Antal inlägg

    143
  • Gick med

  • Senaste besök

Om Patrik Corneliusson

  • Medlemstitel
    Aktiv
  • Födelsedag 1978-07-31

Profil

  • Ort
    Göteborg
  1. Vi på swesecure har fått frågor om symmetrisk kryptering i ASP. På grund av detta, har vi skapat en tjänst, som är mycket enkel att använda. Tjänsten använder XML för att kommunicera (HTTPS) och kräver inga installerade komponenter eller andra 3-parts program. Vi har även skrivit två ASP-filer, en ren VBScript-klass, samt en som även innehåller ett test-gränssnitt. I nuläget stödjer tjänsten endast tvåvägskryptering med sk "3DES", men planer finns att utöka med andra funktioner såsom hashning tex. Exempel på hur koden kan se ut är: <% Dim clsSymServRef, sEncrypted, sDecrypted set clsSymServRef = new clsSymmetricCryptoService sEncrypted = clsSymServRef.sEncrypt("Hello world!") sDecrypted = clsSymServRef.sDecrypt(sEncrypted ) set clsSymServRef = nothing %> Mer om tjänsten, samt exempelfiler finns att ladda hem på: http://www.swesecure.com/?ID=c0c528fd-1bdd-47c0-bf59-4810f6674fc8&CP=
  2. Vi har nu uppdaterat sidan med mycket nytt. Dels har vi många nya utmaningar i en helt ny kategori - krypering. Nytt är också att du nu får poäng för varje nivå som du klarar av och de som har flest poäng syns på förstasidan i form av en topplista. Vi har gjort det möjligt att registrera sig som medlem på sidan. Som medlem kan du just nu skriva i vårt forum och anta utmaningarna i testa dina hackkunskaper. Inom kort kommer vi att lägga till ett RSS-dokument som ni kan prenumerera på för att hålla er uppdaterade om sidans aktivitet. Utöver detta kommer vi även att lägga in en sökfunktion för att ni lättare skall hitta artiklar som intresserar er. Vi lägger flera gånger per vecka in nya artiklar om säkerhet och regelbundet lägger vi ut nya nivåer att knäcka, men vi vill gärna att ni kommer med tips och förslag på vad ni skulle vilja se att vi la in på sidan. Det kan vara allt ifrån tips på artiklar, till helt nya funktioner, eller bara tips på en utmaning som vi kan lägga till i "testa dina hackkunskaper".
  3. Du skickade inte med hur din sql-sats ser ut. Jag tror att det är där felet ligger. Det kan exempelvis vara att du har använt ett reserverat ord - password - eller liknande. Men skriv din sql-sträng - som den ser ut med alla parametrar utskrivna.
  4. Jag hänvisar till http://www.swesecure.com en svensk sida som på ett lättsamt sätt förklarar och beskriver säkerhetsproblem, samt hur man löser dessa.
  5. Jag ser ingen skillnad på dina två databaskopplingar. Skicka gärna med din fråga också.
  6. Mina erfarenheter är att du skall använda OLEDB 4.0. Den är helt klart bäst om du skall jobba mot en accessdatabas. Microsoft Access Driver läcker minne och fungerar allmänt mycket dåligt. Om det är minnesläckaget eller om det är något annat har jag inte undersökt däremot har det alltid fungerat bra med oledb 4.0.
  7. Vid inpostning tycker jag inte att datan skall manipuleras alls, däremot skall den valideras. Du vet att du nu bygger din sida för ett webbgränssnitt men om du skall bygga ett gränssnitt för en mobil enhet, så kan information i databasen inte vara anpassad för webben eftersom det då blir mycket merjobb. Vid inpostning till databas är mitt förslag att använda parametiserade frågor, detta för att undvika sql-injection. Mer om sql-inection kan du läsa här: http://www.swesecure.com/?ID=dc6ea60a-12ae-4e7e-9e9c-59489ccafa90&IID=29a58b01-ca79-4877-b924-4f5da18d4a2a När du sedan hämtar ut datan är det upp till din asp-sida att formatera den för webben. Exempelvis ersätta vbcrlf till <br> och för att undvika xss kan du exempelvis använda server.htmlencode(). Mer om xss kan du läsa här http://www.swesecure.com/?ID=dc6ea60a-12ae-4e7e-9e9c-59489ccafa90&IID=436d5180-8909-4aa2-baee-7c8f925d6eab Ett exempel på hur en parameterbaserad fråga kan se ut ser du nedan... I mitt exempel använder jag en "vanlig" sql-sträng, men lagrade procedurer är att föredra eftersom du där skyddar din inmatning även med datatyp. cmd.CommandType = adCmdText cmd.CommandText = "SELECT * FROM mytable WHERE myparam = ?" cmd.Parameters.Append cmd.CreateParameter("myparam", adInteger, adParamInput) cmd("myparam") = request.form("myparam") set rs = cmd.Execute Tänk på att alla inmatningar måste anses som felaktiga tills dess att du har godkännt dem. Exempel på detta kan vara besökarens referer som du skall spara i en statistiktabell och sedan skriva ut i din administration. Det är mycket enkelt att ändra referer och därigenom utföra xss och alltså kapa hela din session där du är inloggad som administratör. Lycka till med din sida! [inlägget ändrat 2004-10-05 10:25:46 av Patrik Corneliusson]
  8. Det finns en svensk sida om säkerhet vid utveckling. Som är bra att besöka eftersom det finns bättre sätt än att ersätta enkelfnuttar. http://www.swesecure.com Sidan tar upp bland annat sql-injection http://www.swesecure.com/?ID=dc6ea60a-12ae-4e7e-9e9c-59489ccafa90&IID=29a58b01-ca79-4877-b924-4f5da18d4a2a men även andra vanliga säkerhetsproblem vid webbutveckling såsom xss http://www.swesecure.com/?ID=dc6ea60a-12ae-4e7e-9e9c-59489ccafa90&IID=436d5180-8909-4aa2-baee-7c8f925d6eab [inlägget ändrat 2004-10-05 10:05:03 av Patrik Corneliusson]
  9. >Den verkar fungera i IE, men inte i Opera (7.52).. weird... Ja det är dessvärre så. Jag får kika på det och åtgärda problemet senare. Men den går ändå att lösa, men använd helst IE på just nivå 11.
  10. >Mm, konton skulle de ha Det var något vi övervägde innan vi startade sidan. Men vi kom fram till att det var bra om det var enkelt nu i början och att det förmodligen blir en inloggningsvariant längre fram. Fler andra funktioner är också på gång. Likaså uppdaterar vi konternueligt med nya artiklar. Vi har två nya nivåer, nivå 10 och nivå 11 och hittills har ju ingen klarat nivå 9. Det kan vi se i alla fall Vi funderar på att lägga in andra kategorier också, såsom applikationer. Där nivån går ut på att man får en exefil som innehåller ett inloggningssystem som man skall knäcka på lämpligt sätt. Vad tror ni om det? Även webservices funderar vi på. Men mer information kommer efterhand på hemsidan. /Patrik - www.swesecure.com
  11. >Undras hur jobbig åttan är.. jag hoppas att inte nian och tian är varianter på samma sak bara. Utan att avslöja allt för mycket kan jag säga att vi har försökt blanda uppdragen, och vilken typ av säkerhetsproblem det gäller. >Jag testade med att skicka följande via formuläret Kontakta admin: Just den borde fungera, men vi upptäckte just ett problem som dock är åtgärdat nu. Så om ni har haft problem med nivå 5, försök igen och håll tummarna
  12. Hur går det med nivå 5? Om du har jätteproblem så kan du läsa tipsen som finns här. http://www.swesecure.com/?ID=8dca9e5a-5cc4-4938-8678-2f664c4db6dd&IID=fbfb331d-230c-4b07-86af-8ea6643e7b7b Men innan du gör det så läs gärna vår artikel om Cross-Site Scripting (XSS) http://www.swesecure.com/?ID=dc6ea60a-12ae-4e7e-9e9c-59489ccafa90&IID=436d5180-8909-4aa2-baee-7c8f925d6eab
  13. Hej! Vi har skapat en sida för säkerhetsintresserade utvecklare. Swesecure.com Vi har kommit en bra bit på vägen men eftersom det är en samlingsplats utvecklas den allt eftersom. Ni får gärna kommentera avdelningen "testa dina hackkunskaper". Är det för lätt? För svårt? Målet med sidan är att bidra med fakta om säkerhetsbrister och på det sättet upplysa om vanliga säkerhetsproblem när man skriver kod. Vi försöker även upplysa om de hot som finns och hur de kan motarbetas. Genom denna sida hoppas vi få en högre säkerhetsnivå bland oss utvecklare. Avdelningen "testa dina hackkunskaper" kan vara ett test om hur säkerhetsmedveten du är. Testa gärna dina kollegor också!
  14. Hej! Är det någon som har kört federated sql-servers? I så fall, hur tycker ni att det fungerar? Vad kan vara värt att tänka på när man bygger upp sina tabeller och så?
×
×
  • Skapa nytt...