Seguridad

16/07/2004 - 00:51 por Diego Uribe | Informe spam
Hola

Tengo una preguntica de seguridad, existe alguna manera de mirar el
contenido de una variable de session desde el cliente?

O tal vez ejecutar algún código asp desde el cliente, algo asi como un
response.write?

Alguien sabe si tenemos problemas de seguridad utilizando asp?

Gracias desde ya...

Saludos

Diego

Preguntas similare

Leer las respuestas

#1 Alvaro G Vicario
16/07/2004 - 08:42 | Informe spam
*** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
Tengo una preguntica de seguridad, existe alguna manera de mirar el
contenido de una variable de session desde el cliente?

O tal vez ejecutar algún código asp desde el cliente, algo asi como un
response.write?



ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar una
variable de sesión en el cliente es escribirla en el servidor:

response.write "<p>La variable pepito vale " & session("pepito") & "</p>"

A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo lo
que quieres hacer.


Alguien sabe si tenemos problemas de seguridad utilizando asp?



Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.

Respuesta Responder a este mensaje
#2 Matias Iacono
16/07/2004 - 15:06 | Informe spam
Te recomiendo que busques por ataques de SCRIPTING.

Y sobre service pack en IIS.

Te comento esto ya que el primero es un ataque muy comun que se hace por
medio del uso de formularios de la misma pagina web. Colocando un codigo ASP
o JavaScript en los textbox de un formulario, dependiendo del programador,
en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
Es similar al SQL Injection, error comun en algunos programadores al hacer
SPs o relacionados a SQL.

En el caso de los service pack y demas, el problema radica en que IIS, por
lo menos en versiones un poco viejas, dejaban a la de dios algunas cosas. A
tal punto que si colocabas una cadena especifica en la barra del navegador,
podias acceder directamente al codigo ASP sin compilar. Tal vez no lo podias
modificar pero si tenias un poco de suerte veias cadenas de conexion y
demas.

No tengo los codigos a mano, pero espero haberte guiado un poco.

Matias Iacono
Microsoft MVP



"Alvaro G Vicario" wrote in
message news:1g3815jrpai3m.dcmxunpbnnr3$
*** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> Tengo una preguntica de seguridad, existe alguna manera de mirar el
> contenido de una variable de session desde el cliente?
>
> O tal vez ejecutar algún código asp desde el cliente, algo asi como un
> response.write?

ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar una
variable de sesión en el cliente es escribirla en el servidor:

response.write "<p>La variable pepito vale " & session("pepito") & "</p>"

A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo lo
que quieres hacer.


> Alguien sabe si tenemos problemas de seguridad utilizando asp?

Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.

Respuesta Responder a este mensaje
#3 Diego Uribe
16/07/2004 - 15:39 | Informe spam
excelente ayuda investigare lo del scripting
Gracias

"Matias Iacono" escribió en el mensaje
news:%
Te recomiendo que busques por ataques de SCRIPTING.

Y sobre service pack en IIS.

Te comento esto ya que el primero es un ataque muy comun que se hace por
medio del uso de formularios de la misma pagina web. Colocando un codigo


ASP
o JavaScript en los textbox de un formulario, dependiendo del programador,
en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
Es similar al SQL Injection, error comun en algunos programadores al hacer
SPs o relacionados a SQL.

En el caso de los service pack y demas, el problema radica en que IIS, por
lo menos en versiones un poco viejas, dejaban a la de dios algunas cosas.


A
tal punto que si colocabas una cadena especifica en la barra del


navegador,
podias acceder directamente al codigo ASP sin compilar. Tal vez no lo


podias
modificar pero si tenias un poco de suerte veias cadenas de conexion y
demas.

No tengo los codigos a mano, pero espero haberte guiado un poco.

Matias Iacono
Microsoft MVP



"Alvaro G Vicario" wrote in
message news:1g3815jrpai3m.dcmxunpbnnr3$
> *** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> > Tengo una preguntica de seguridad, existe alguna manera de mirar el
> > contenido de una variable de session desde el cliente?
> >
> > O tal vez ejecutar algún código asp desde el cliente, algo asi como un
> > response.write?
>
> ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar


una
> variable de sesión en el cliente es escribirla en el servidor:
>
> response.write "<p>La variable pepito vale " & session("pepito") &


"</p>"
>
> A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo lo
> que quieres hacer.
>
>
> > Alguien sabe si tenemos problemas de seguridad utilizando asp?
>
> Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.
>


Respuesta Responder a este mensaje
#4 Franco Figún
16/07/2004 - 16:06 | Informe spam
Hasta hace un teimpo, habi un BUG con el cual, con asp, podías ejecutar el
CM.EXE del servidor donde corrian las pagina asp 3.0...tambien buscá info
sobre eso...tanto de scriting como de sql injection...

FF
www.francofigun.com.ar
MSN:
Yahoo MSN:

"Diego Uribe" wrote in message
news:
excelente ayuda investigare lo del scripting
Gracias

"Matias Iacono" escribió en el mensaje
news:%
> Te recomiendo que busques por ataques de SCRIPTING.
>
> Y sobre service pack en IIS.
>
> Te comento esto ya que el primero es un ataque muy comun que se hace por
> medio del uso de formularios de la misma pagina web. Colocando un codigo
ASP
> o JavaScript en los textbox de un formulario, dependiendo del


programador,
> en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
> Es similar al SQL Injection, error comun en algunos programadores al


hacer
> SPs o relacionados a SQL.
>
> En el caso de los service pack y demas, el problema radica en que IIS,


por
> lo menos en versiones un poco viejas, dejaban a la de dios algunas


cosas.
A
> tal punto que si colocabas una cadena especifica en la barra del
navegador,
> podias acceder directamente al codigo ASP sin compilar. Tal vez no lo
podias
> modificar pero si tenias un poco de suerte veias cadenas de conexion y
> demas.
>
> No tengo los codigos a mano, pero espero haberte guiado un poco.
>
> Matias Iacono
> Microsoft MVP
>
>
>
> "Alvaro G Vicario" wrote


in
> message news:1g3815jrpai3m.dcmxunpbnnr3$
> > *** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> > > Tengo una preguntica de seguridad, existe alguna manera de mirar el
> > > contenido de una variable de session desde el cliente?
> > >
> > > O tal vez ejecutar algún código asp desde el cliente, algo asi como


un
> > > response.write?
> >
> > ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar
una
> > variable de sesión en el cliente es escribirla en el servidor:
> >
> > response.write "<p>La variable pepito vale " & session("pepito") &
"</p>"
> >
> > A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo


lo
> > que quieres hacer.
> >
> >
> > > Alguien sabe si tenemos problemas de seguridad utilizando asp?
> >
> > Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.
> >
>
>


Respuesta Responder a este mensaje
#5 Jhonny Vargas P.
17/07/2004 - 01:23 | Informe spam
En nuestra web encontrarás dos buenos libros (en formato digital) que puedes
bajar y hablan de esto mismo.

http://www.mvp.cl/Libros/


Saludos,
Jhonny Vargas P. [MVP]
Santiago de Chile
http://msmvps.com/jvargas
http://www.mvp.cl




"Franco Figún" escribió en el mensaje
news:
Hasta hace un teimpo, habi un BUG con el cual, con asp, podías ejecutar el
CM.EXE del servidor donde corrian las pagina asp 3.0...tambien buscá info
sobre eso...tanto de scriting como de sql injection...

FF
www.francofigun.com.ar
MSN:
Yahoo MSN:

"Diego Uribe" wrote in message
news:
> excelente ayuda investigare lo del scripting
> Gracias
>
> "Matias Iacono" escribió en el mensaje
> news:%
> > Te recomiendo que busques por ataques de SCRIPTING.
> >
> > Y sobre service pack en IIS.
> >
> > Te comento esto ya que el primero es un ataque muy comun que se hace


por
> > medio del uso de formularios de la misma pagina web. Colocando un


codigo
> ASP
> > o JavaScript en los textbox de un formulario, dependiendo del
programador,
> > en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
> > Es similar al SQL Injection, error comun en algunos programadores al
hacer
> > SPs o relacionados a SQL.
> >
> > En el caso de los service pack y demas, el problema radica en que IIS,
por
> > lo menos en versiones un poco viejas, dejaban a la de dios algunas
cosas.
> A
> > tal punto que si colocabas una cadena especifica en la barra del
> navegador,
> > podias acceder directamente al codigo ASP sin compilar. Tal vez no lo
> podias
> > modificar pero si tenias un poco de suerte veias cadenas de conexion y
> > demas.
> >
> > No tengo los codigos a mano, pero espero haberte guiado un poco.
> >
> > Matias Iacono
> > Microsoft MVP
> >
> >
> >
> > "Alvaro G Vicario" wrote
in
> > message news:1g3815jrpai3m.dcmxunpbnnr3$
> > > *** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> > > > Tengo una preguntica de seguridad, existe alguna manera de mirar


el
> > > > contenido de una variable de session desde el cliente?
> > > >
> > > > O tal vez ejecutar algún código asp desde el cliente, algo asi


como
un
> > > > response.write?
> > >
> > > ASP se ejecuta en el servidor web, no en el cliente. La forma de


mirar
> una
> > > variable de sesión en el cliente es escribirla en el servidor:
> > >
> > > response.write "<p>La variable pepito vale " & session("pepito") &
> "</p>"
> > >
> > > A mí no me se ocurriría hacerlo de otra forma. O eso o no te


entiendo
lo
> > > que quieres hacer.
> > >
> > >
> > > > Alguien sabe si tenemos problemas de seguridad utilizando asp?
> > >
> > > Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.
> > >
> >
> >
>
>


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida