banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Kiểm tra bảo mật Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn  XML
  [Question]   Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 03/12/2006 13:58:39 (+0700) | #1 | 27648
soccon
Member

[Minus]    0    [Plus]
Joined: 23/10/2005 17:18:03
Messages: 28
Offline
[Profile] [PM]
url xác nhận: http://vovonline.net/check.htm
Tôi xác nhận chủ quyền trang web http://vovonline.net
Tôi, soccon đã tham khảo quy định kiểm tra bảo mật của HVA và xin uỷ quyền nhóm kiểm tra bảo mật HVA kiểm tra trang web này.
Trang web này do tôi xây dựng và chủ sở hữu là của Đài tiếng nói Việt Nam do đó rất mong các bạn trong diễn đàn dành chút thời gian để kiểm tra giùm.
Trang web này được đặt trên một server của FPT và tôi có toàn quyền cài đặt cũng như cấu hình server này, nhưng do kiến thức quản lý server còn hạn hẹp nên tôi nghĩ chắc chắn sẽ có nhiều lỗ hổng bảo mật. Và hiện toi không biết rõ lắm là mình sẽ phải cài những thứ giừ để có thể đảm bảo sự an toàn tối thiểu cho server này, rất mong được các bạn giúp đỡ.
Rất mong các bạn trong diễn đàn nếu có thời gian kiểm tra dùm vấn để bảo mật của dịch vụ web lẫn ở tầng máy chủ. Tôi xin chân thành cảm ơn rất nhiều.
PS: trang web này vẫn trong thời gian chạy thử nghiệm, chưa công bố chính thức trên các phương tiện thông tin đại chúng.
[Up] [Print Copy]
  [Question]   Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 05/12/2006 12:11:13 (+0700) | #2 | 28024
quanghung221
Member

[Minus]    0    [Plus]
Joined: 18/01/2005 11:11:55
Messages: 4
Offline
[Profile] [PM]
Chà để tớ thử xem (^^) nhưng trình còi lém (^^).Mà sao nhin cái them này thấy quen quen .
[Up] [Print Copy]
  [Question]   Re: Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 06/12/2006 09:27:34 (+0700) | #3 | 28253
soccon
Member

[Minus]    0    [Plus]
Joined: 23/10/2005 17:18:03
Messages: 28
Offline
[Profile] [PM]
Rất cám ơn bạn đã quan tâm, cái giao diện này do một người khác thực hiện và tôi chỉ chế biến thêm code vào thôi. Hình như họ cũng lấy một giao diện của một trang web có sẵn nào đó thì phải.
Rất mong các bạn cố sức giúp đỡ. Nhất là về phần bảo mật của server. Cám ơn nhiều.
[Up] [Print Copy]
  [Question]   Re:Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 08/12/2006 20:32:16 (+0700) | #4 | 29008
[Avatar]
nora
Elite Member

[Minus]    0    [Plus]
Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline
[Profile] [PM]
Code lỗi nhiều lắm, mình mới xem qua thui nhưng ra lỗi liền, chờ kiểm tra tiếp

Microsoft VBScript runtime error '800a000d'

Type mismatch: 'Cint'

/contents/default.asp, line 8 
[Up] [Print Copy]
  [Question]   Re:Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 08/12/2006 20:39:21 (+0700) | #5 | 29009
[Avatar]
nora
Elite Member

[Minus]    0    [Plus]
Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline
[Profile] [PM]
TestScript.asp

Dim variables

set variables = to form input

if there are form input errors then
errFlag = true
errMsg = "there were form input errors"

if this is a form submission then (ie: if request("btnSubmit"smilie <>
"" then)
update the database

if there were datbase update errors then
errFlag = true
errMsg = "there were database errors"

query the database to get the latest data

if errFlag then
display errMsg

display queried data 


mình ko biết nhiều về asp, tuy nhiên bạn thự dùng đoạn code trên để handle error thử xem
[Up] [Print Copy]
  [Question]   Re:Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 13/12/2006 01:20:01 (+0700) | #6 | 30101
soccon
Member

[Minus]    0    [Plus]
Joined: 23/10/2005 17:18:03
Messages: 28
Offline
[Profile] [PM]

nora wrote:
Code lỗi nhiều lắm, mình mới xem qua thui nhưng ra lỗi liền, chờ kiểm tra tiếp

Microsoft VBScript runtime error '800a000d'

Type mismatch: 'Cint'

/contents/default.asp, line 8 
 


To nora: Lỗi này chỉ phát sinh khi người sử dụng cố tình chèn vào lên query những ký tự không phải là int. Mình nghĩ đây là một cách đơn giản nhất trong việc chống SQL Injection đối với những biến quản lý ID.
[Up] [Print Copy]
  [Question]   Re: Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 03/01/2007 05:46:42 (+0700) | #7 | 33967
TeThienDaiThanh
Member

[Minus]    0    [Plus]
Joined: 13/09/2003 06:37:58
Messages: 8
Offline
[Profile] [PM]
Mình nghĩ bạn nên có một handler để bắt kiểu dữ liệu này và wwwect sang một trang "customized 404" của chính bạn thì hay hơn là để lỗi như thế này, báo lỗi kiểu này là cấm kỵ trong lập trình đấy bạn ^^ Góp ý, chúc vui !!
[Up] [Print Copy]
  [Question]   Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 08/01/2007 13:21:34 (+0700) | #8 | 34965
soccon
Member

[Minus]    0    [Plus]
Joined: 23/10/2005 17:18:03
Messages: 28
Offline
[Profile] [PM]
Rất cám ơn TeThienDaiThanh, mình đã thực hiện cho hiển thị trang thông báo lỗi khác lên rồi. Nhưng thật sự mình cũng chưa hiểu nếu hiện lỗi thông báo như vậy thì hacker có thể khai thác được gì không? Không biết bạn hoặc một ai đó có thể giải thích cho mình được không? Cám ơn rất nhiều
[Up] [Print Copy]
  [Question]   Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 08/01/2007 13:32:34 (+0700) | #9 | 34968
soccon
Member

[Minus]    0    [Plus]
Joined: 23/10/2005 17:18:03
Messages: 28
Offline
[Profile] [PM]
Ah, quên, để chuyển sang trang customer error thì phải chỉnh lại trong HTTP ERROR 500;100 chứ không phải trong 404, không biết có phải TeThienDaiThanh nhớ nhầm không?
[Up] [Print Copy]
  [Question]   Nhờ HVA kiểm tra giùm trang web cùng server này. Rất cám ơn 08/01/2007 18:06:19 (+0700) | #10 | 35004
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

soccon wrote:
Rất cám ơn TeThienDaiThanh, mình đã thực hiện cho hiển thị trang thông báo lỗi khác lên rồi. Nhưng thật sự mình cũng chưa hiểu nếu hiện lỗi thông báo như vậy thì hacker có thể khai thác được gì không? Không biết bạn hoặc một ai đó có thể giải thích cho mình được không? Cám ơn rất nhiều 


Những thông báo cụ thể được hồi báo từ CSDL nên được filter thành "friendly message" để tạo khó khăn cho những người thăm dò web của bạn (và có thể dẫn đến việc tấn công). Chỉ có bạn mới có quyền xem các hồi báo cụ thể này.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|