Hej,

På vår hemsida http://www.stenkullengoik.com har vi nyligen lagt upp en omröstningsfunktion. Det dröjde ett par veckor, sen lyckades någon skriva ett externt formulär och på så sätt manipulera värdena i databasen.

Jag tror och hoppas nu att jag har lyckats stoppa den möjligheten, men ber er att försöka. På www.stenkullengoik.com/index.asp ligger en <form> på rad 1423 (+- 5...). Förhoppningsvis kommer ni få upp en oerhört skrämmande alertruta, som säger åt er att ge fan i att försöka - oförhoppningsvis så lyckas ni ge Juventus 2000 röster, men då får ni vara så snälla att berätta hur.

Funktionen använder sig av cookies & lagrar ip-nummer.

Frågor, maila mig på bjorn.jansson@stenkullengoik.com

Tacksam för hjälp,
Björn

Sidan är riktigt osäker och det är ju inga problem att ladda ner hela databasen (som .mdb).
Problemet är att det är helt felgjort. Man ska inte visa lokala felmeddelande ut till användarna och man ska aldrig låta servern lämna ifrån sig databaser eller andra känsliga filer. De ska inte ens ligga i en mapp som är publik.

Hur lyckas ni komma åt databasen?

Hur skriver ni i querystringen när försöker komma åt db:en?

George

Tack för svaren!

Japp, att sidan är osäker råder nog inget tvivel om. Webhotellet tyckte vi skulle placera databaserna i en ickepublik mapp, men det hade inneburit alldeles för mycket merjobb. Och då det är en fotbollsklubb i sexan vi skriver för, känns inte en sådan slags säkerhet motiverad. Däremot är det just mot tramserier vi behöver skydda oss, nötter som lägger in 4000 röster i en omröstning och sådant. Att ett fåtal lyckas ladda ner .mdb-filen gör oss egentligen ingenting.

Ingenting på sidan är gratisscript, utan idogt ihopknåpade av undertecknad. Skrev <% för första gången för typ 8 månader sen och är ändå rätt nöjd. Tyvärr lär jag ju dock aldrig få jobb på SEB...

Om någon av er sitter på IP-nummer 81.228.63.28, så vore det skönt om denne kunde maila mig på bjorn.jansson@stenkullengoik.com och berätta det - fick drygt 10 anmälningar om att någon försökte fuskrösta från det numret. Om det är någon annan än härifrån så blev det ju i högsta grad intressant.

Som sagt, tacksam för era svar!

Det är med största sannolik mitt IP-nummer eftersom jag höll på igår när jag laddade ner databasen.

Det verkar dock omöjligt för dig att anmäla någon på IP-nummer eftersom du inte sparar tiden, vad jag kunde se, när IP-numret användes.

Tja, ett mail skickas till mig och min kollega så fort den där alerten dyker upp, på så sätt får vi snabbt reda på när något har hänt. Vi hade väl egentligen inte tänkt anmäla någon - om inte denne någon skulle hålla på i all evighet, men det kanske kan skrämma bort någon.

Tack för hjälpen!

När vi ändå är inne på ämnet Intrångsförsök.Hur bör man skydda sin sida från attacker?

här finns lite nyttig info...
http://www.devx.com/security/Article/20898