Votre avis m'interesse

Bonjour j'ai fait un petit test qui donne déjà un résultat qui devrait
t'alerter à mon sens


voilà j'ai saisie en login : ' or 0=0
password : '

voilà le retour du site

Connexion
Login *
Mot de passe *
Mémoriser login et mot de passe
Créer votre compte



Etat du serveur
Module recruteur
Module administration
Documentation



a.. ALL_HTTP : HTTP_CACHE_CONTROL:no-cache HTTP_CONNECTION:Keep-Alive
HTTP_CONTENT_LENGTH:3721 HTTP_CONTENT_TYPE:application/x-www-form-urlencoded
HTTP_ACCEPT:image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword,
application/x-shockwave-flash, */* HTTP_ACCEPT_ENCODING:gzip, deflate
HTTP_ACCEPT_LANGUAGE:fr HTTP_HOST:candidat.europe.webmatrixhosting.net
HTTP_REFERER:http://candidat.europe.webmatrixhosting.net
HTTP_USER_AGENT:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR
1.0.3705; .NET CLR 1.1.4322)
a.. ALL_RAW : Cache-Control: no-cache Connection: Keep-Alive Content-Length:
3721 Content-Type: application/x-www-form-urlencoded Accept: image/gif,
image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint,
application/vnd.ms-excel, application/msword, application/x-shockwave-flash,
*/* Accept-Encoding: gzip, deflate Accept-Language: fr Host:
candidat.europe.webmatrixhosting.net Referer:
http://candidat.europe.webmatrixhosting.net User-Agent: Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
a.. APPL_MD_PATH : /LM/w3svc/571328637/ROOT
a.. APPL_PHYSICAL_PATH : d:userscandidat
a.. AUTH_TYPE :
a.. AUTH_USER :
a.. AUTH_PASSWORD :
a.. LOGON_USER :
a.. REMOTE_USER :
a.. CERT_COOKIE :
a.. CERT_FLAGS :
a.. CERT_ISSUER :
a.. CERT_KEYSIZE :
a.. CERT_SECRETKEYSIZE :
a.. CERT_SERIALNUMBER :
a.. CERT_SERVER_ISSUER :
a.. CERT_SERVER_SUBJECT :
a.. CERT_SUBJECT :
a.. CONTENT_LENGTH : 3721
a.. CONTENT_TYPE : application/x-www-form-urlencoded
a.. GATEWAY_INTERFACE : CGI/1.1
a.. HTTPS : off
a.. HTTPS_KEYSIZE :
a.. HTTPS_SECRETKEYSIZE :
a.. HTTPS_SERVER_ISSUER :
a.. HTTPS_SERVER_SUBJECT :
a.. INSTANCE_ID : 571328637
a.. INSTANCE_META_PATH : /LM/W3SVC/571328637
a.. LOCAL_ADDR : 195.209.62.203
a.. PATH_INFO : /Default.aspx
a.. PATH_TRANSLATED : d:userscandidatDefault.aspx
a.. QUERY_STRING :
a.. REMOTE_ADDR : 217.128.80.2
a.. REMOTE_HOST : 217.128.80.2
a.. REMOTE_PORT : 25449
a.. REQUEST_METHOD : POST
a.. SCRIPT_NAME : /Default.aspx
a.. SERVER_NAME : candidat.europe.webmatrixhosting.net
a.. SERVER_PORT : 80
a.. SERVER_PORT_SECURE : 0
a.. SERVER_PROTOCOL : HTTP/1.1
a.. SERVER_SOFTWARE : Microsoft-IIS/6.0
a.. URL : /Default.aspx
a.. HTTP_CACHE_CONTROL : no-cache
a.. HTTP_CONNECTION : Keep-Alive
a.. HTTP_CONTENT_LENGTH : 3721
a.. HTTP_CONTENT_TYPE : application/x-www-form-urlencoded
a.. HTTP_ACCEPT : image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword,
application/x-shockwave-flash, */*
a.. HTTP_ACCEPT_ENCODING : gzip, deflate
a.. HTTP_ACCEPT_LANGUAGE : fr
a.. HTTP_HOST : candidat.europe.webmatrixhosting.net
a.. HTTP_REFERER : http://candidat.europe.webmatrixhosting.net
a.. HTTP_USER_AGENT : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.0.3705; .NET CLR 1.1.4322)
?
--------------------------------------------------------------------------
Cette application est en cours de développement
Page générée le : 22/06/2004 14:26:01
Chaine SQL : candidat = Ltgs8M270RxDG/BYcAICUA= Chaine de connexion
ModeSELECT * FROM CANDIDAT WHERE cand_login=''' or 0=0 --' AND
cand_pass='BxFzOzZIP0I=' ;
Anomaliepas trouv





Visiblement avec ça je passe et j'obtiens quelques informations qui a mon
avis ne devrait pas transparaitre

Hope this help

Sebastien

PS : pour éviter ce type de chose tu devrais utiliser des procédures
stockées, contrôler les infos saisie, utiliser l'authentification par
formulaire de ASP.NET
"yaaak" <yaaak_sans_spam@caramail.com> a écrit dans le message de
news:O7st6NFWEHA.1012@TK2MSFTNGP09.phx.gbl...

Bonjour
je viens de terminer enfin une application .Net (ma premiere) et je

voudrais

votre avis sur son fonctionnement
en vous remerciant ....

Langage VB
BDD SQL Server
Ide VS Net

J'ai aussi developpé le module dedie aux recruteurs qui peuvent emettre

des

annonces et consulter le panel des candidats
Contactez moi pour vous donner les elements pour le tester

Merci pour tout commentaire

PS : Le graphisme est plus qu'elementaire mais ca n'empeche pas les
fonctionnalites

--
http://candidat.europe.webmatrixhosting.net

une application de recrutement d'informaticiens online

tout d'abord un grand merci pour le report d'info
effectivement, cette affichage est hasardeux apres le lancement des tests,
il a servi pour des besoins de debogages,
comme l'application n'est pas finalisée, je suis en train d'ajouter les
controles de validation
sur les formulaires de saisie et je supprime au fur et a mesure les
informations de debogages affichees en bas de l'ecran
encore une fois merciiiiiii

fait attention parce que visiblement ton identification envoi directement du
code sql type select id_candidat from tbl_candidat where login='hjkh' and
password='jhjklj'

les login et password sont obtenu a partir de tes textbox à ce moment là on
peut tranférer du code sql c'est d'ailleur ce que j'ai fait lors du test
relis le format de ta requête tu vera passer un ' or 0=0 -- l'apostrophe
ferme le champ login le or passe à tous les coup et les -- permette de
tranformer la fin de ta commande sql en commentaires donc elle ne test pas
le password et le 0=0 passe à coup sur donc c'est comme si j'étais identifié
au même titre un '; drop table users -- serait passé avec plus de
conséquence et si tu tourne avec le compte sa en connection une commande ';
xp_cmdshell 'format c:' -- a aussi toutes les chance passer

Sebastien


"yaaak" <yaaak_sans_spam@caramail.com> a écrit dans le message de
news:OPoysUGWEHA.2696@TK2MSFTNGP09.phx.gbl...

tout d'abord un grand merci pour le report d'info
effectivement, cette affichage est hasardeux apres le lancement des tests,
il a servi pour des besoins de debogages,
comme l'application n'est pas finalisée, je suis en train d'ajouter les
controles de validation
sur les formulaires de saisie et je supprime au fur et a mesure les
informations de debogages affichees en bas de l'ecran
encore une fois merciiiiiii

voilà un exemple d'utilisation de ' or 0=0 --


Menu Administrateur

Catégorie Compétence Durée Formation Public Service Situation
Utilisateur Profil Offre Candidat


Catégorie

Ajouter une nouvelle catégorie
Catégorie
Base de données
GroupWare
Informatique décisionnelle
Multimédia
Nouvelles technologies
Systèmes d'informations de gestion
1


--------------------------------------------------------------------------
Cette application est en cours de développement
Page générée le : 22/06/2004 16:08:37
Chaine SQL : PS_liste_categorie
Chaine de connexion
Mode debut
Anomalie



"yaaak" <yaaak_sans_spam@caramail.com> a écrit dans le message de
news:OPoysUGWEHA.2696@TK2MSFTNGP09.phx.gbl...

tout d'abord un grand merci pour le report d'info
effectivement, cette affichage est hasardeux apres le lancement des tests,
il a servi pour des besoins de debogages,
comme l'application n'est pas finalisée, je suis en train d'ajouter les
controles de validation
sur les formulaires de saisie et je supprime au fur et a mesure les
informations de debogages affichees en bas de l'ecran
encore une fois merciiiiiii

bonjour ,
encre une fois merci pour ces informations fort utiles et importantes;
je suis en train de reecrire la page d'authentification en utilisant une
procedure stockées et je reflechis a l'ajout d'une fonction qui traitera
toutes les chaines transmises au serveur avant leur envoi vers la base de
données. Cela juste pour eviter autant que faire se peut, les saisies
frauduleuses de code SQL.

Pour ce ki est de l'affichage en bas des pages, il est a ete maintenu pour
des besoins de debogage.

Visiblement avec ça je passe et j'obtiens quelques informations qui a mon
avis ne devrait pas transparaitre

Hope this help

Sebastien

merci beaucoup
pour votre aide

merci sebastien pour tes remarques,
je suis en train d'essayer de mettre un filtre contre l''expression or XXXXX
pour eviter les codes frauduleux
mais cet aspect sera mieux combatu en utilisant des procedures stockees
j'y travaille aussi
mais je suppose que c pas la seule protection a prevoir
pour le moment cette appli n'est pas operationnelle car j'ai pas encore
trouve de preneur
donc je la finalise tout doucement
mais j'apprecie de telles remarques

<sebastien981_nospam@hotmail.com> wrote in message
news:uv4eiuGWEHA.808@tk2msftngp13.phx.gbl...

voilà un exemple d'utilisation de ' or 0=0 --


Menu Administrateur

Catégorie Compétence Durée Formation Public Service Situation
Utilisateur Profil Offre Candidat


Catégorie

Ajouter une nouvelle catégorie
Catégorie
Base de données
GroupWare
Informatique décisionnelle
Multimédia
Nouvelles technologies
Systèmes d'informations de gestion
1


--------------------------------------------------------------------------
Cette application est en cours de développement
Page générée le : 22/06/2004 16:08:37
Chaine SQL : PS_liste_categorie
Chaine de connexion
Mode debut
Anomalie



"yaaak" <yaaak_sans_spam@caramail.com> a écrit dans le message de
news:OPoysUGWEHA.2696@TK2MSFTNGP09.phx.gbl...
> tout d'abord un grand merci pour le report d'info
> effectivement, cette affichage est hasardeux apres le lancement des

tests,

> il a servi pour des besoins de debogages,
> comme l'application n'est pas finalisée, je suis en train d'ajouter les
> controles de validation
> sur les formulaires de saisie et je supprime au fur et a mesure les
> informations de debogages affichees en bas de l'ecran
> encore une fois merciiiiiii
>
>
>