Seguridad

*** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):

Tengo una preguntica de seguridad, existe alguna manera de mirar el
contenido de una variable de session desde el cliente?

O tal vez ejecutar algún código asp desde el cliente, algo asi como un
response.write?

ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar una
variable de sesión en el cliente es escribirla en el servidor:

response.write "<p>La variable pepito vale " & session("pepito") & "</p>"

A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo lo
que quieres hacer.

Alguien sabe si tenemos problemas de seguridad utilizando asp?

Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.

Te recomiendo que busques por ataques de SCRIPTING.

Y sobre service pack en IIS.

Te comento esto ya que el primero es un ataque muy comun que se hace por
medio del uso de formularios de la misma pagina web. Colocando un codigo ASP
o JavaScript en los textbox de un formulario, dependiendo del programador,
en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
Es similar al SQL Injection, error comun en algunos programadores al hacer
SPs o relacionados a SQL.

En el caso de los service pack y demas, el problema radica en que IIS, por
lo menos en versiones un poco viejas, dejaban a la de dios algunas cosas. A
tal punto que si colocabas una cadena especifica en la barra del navegador,
podias acceder directamente al codigo ASP sin compilar. Tal vez no lo podias
modificar pero si tenias un poco de suerte veias cadenas de conexion y
demas.

No tengo los codigos a mano, pero espero haberte guiado un poco.

Matias Iacono
Microsoft MVP



"Alvaro G Vicario" wrote in
message news:1g3815jrpai3m.dcmxunpbnnr3$

*** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> Tengo una preguntica de seguridad, existe alguna manera de mirar el
> contenido de una variable de session desde el cliente?
>
> O tal vez ejecutar algún código asp desde el cliente, algo asi como un
> response.write?

ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar una
variable de sesión en el cliente es escribirla en el servidor:

response.write "<p>La variable pepito vale " & session("pepito") & "</p>"

A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo lo
que quieres hacer.


> Alguien sabe si tenemos problemas de seguridad utilizando asp?

Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.

excelente ayuda investigare lo del scripting
Gracias

"Matias Iacono" escribió en el mensaje
news:%

Te recomiendo que busques por ataques de SCRIPTING.

Y sobre service pack en IIS.

Te comento esto ya que el primero es un ataque muy comun que se hace por
medio del uso de formularios de la misma pagina web. Colocando un codigo

ASP

o JavaScript en los textbox de un formulario, dependiendo del programador,
en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
Es similar al SQL Injection, error comun en algunos programadores al hacer
SPs o relacionados a SQL.

En el caso de los service pack y demas, el problema radica en que IIS, por
lo menos en versiones un poco viejas, dejaban a la de dios algunas cosas.

A

tal punto que si colocabas una cadena especifica en la barra del

navegador,

podias acceder directamente al codigo ASP sin compilar. Tal vez no lo

podias

modificar pero si tenias un poco de suerte veias cadenas de conexion y
demas.

No tengo los codigos a mano, pero espero haberte guiado un poco.

Matias Iacono
Microsoft MVP



"Alvaro G Vicario" wrote in
message news:1g3815jrpai3m.dcmxunpbnnr3$
> *** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> > Tengo una preguntica de seguridad, existe alguna manera de mirar el
> > contenido de una variable de session desde el cliente?
> >
> > O tal vez ejecutar algún código asp desde el cliente, algo asi como un
> > response.write?
>
> ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar

una

> variable de sesión en el cliente es escribirla en el servidor:
>
> response.write "<p>La variable pepito vale " & session("pepito") &

"</p>"

>
> A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo lo
> que quieres hacer.
>
>
> > Alguien sabe si tenemos problemas de seguridad utilizando asp?
>
> Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.
>

Hasta hace un teimpo, habi un BUG con el cual, con asp, podías ejecutar el
CM.EXE del servidor donde corrian las pagina asp 3.0...tambien buscá info
sobre eso...tanto de scriting como de sql injection...

FF
www.francofigun.com.ar
MSN:
Yahoo MSN:

"Diego Uribe" wrote in message
news:

excelente ayuda investigare lo del scripting
Gracias

"Matias Iacono" escribió en el mensaje
news:%
> Te recomiendo que busques por ataques de SCRIPTING.
>
> Y sobre service pack en IIS.
>
> Te comento esto ya que el primero es un ataque muy comun que se hace por
> medio del uso de formularios de la misma pagina web. Colocando un codigo
ASP
> o JavaScript en los textbox de un formulario, dependiendo del

programador,

> en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
> Es similar al SQL Injection, error comun en algunos programadores al

hacer

> SPs o relacionados a SQL.
>
> En el caso de los service pack y demas, el problema radica en que IIS,

por

> lo menos en versiones un poco viejas, dejaban a la de dios algunas

cosas.

A
> tal punto que si colocabas una cadena especifica en la barra del
navegador,
> podias acceder directamente al codigo ASP sin compilar. Tal vez no lo
podias
> modificar pero si tenias un poco de suerte veias cadenas de conexion y
> demas.
>
> No tengo los codigos a mano, pero espero haberte guiado un poco.
>
> Matias Iacono
> Microsoft MVP
>
>
>
> "Alvaro G Vicario" wrote

in

> message news:1g3815jrpai3m.dcmxunpbnnr3$
> > *** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> > > Tengo una preguntica de seguridad, existe alguna manera de mirar el
> > > contenido de una variable de session desde el cliente?
> > >
> > > O tal vez ejecutar algún código asp desde el cliente, algo asi como

un

> > > response.write?
> >
> > ASP se ejecuta en el servidor web, no en el cliente. La forma de mirar
una
> > variable de sesión en el cliente es escribirla en el servidor:
> >
> > response.write "<p>La variable pepito vale " & session("pepito") &
"</p>"
> >
> > A mí no me se ocurriría hacerlo de otra forma. O eso o no te entiendo

lo

> > que quieres hacer.
> >
> >
> > > Alguien sabe si tenemos problemas de seguridad utilizando asp?
> >
> > Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.
> >
>
>

En nuestra web encontrarás dos buenos libros (en formato digital) que puedes
bajar y hablan de esto mismo.

http://www.mvp.cl/Libros/


Saludos,
Jhonny Vargas P. [MVP]
Santiago de Chile
http://msmvps.com/jvargas
http://www.mvp.cl




"Franco Figún" escribió en el mensaje
news:

Hasta hace un teimpo, habi un BUG con el cual, con asp, podías ejecutar el
CM.EXE del servidor donde corrian las pagina asp 3.0...tambien buscá info
sobre eso...tanto de scriting como de sql injection...

FF
www.francofigun.com.ar
MSN:
Yahoo MSN:

"Diego Uribe" wrote in message
news:
> excelente ayuda investigare lo del scripting
> Gracias
>
> "Matias Iacono" escribió en el mensaje
> news:%
> > Te recomiendo que busques por ataques de SCRIPTING.
> >
> > Y sobre service pack en IIS.
> >
> > Te comento esto ya que el primero es un ataque muy comun que se hace

por

> > medio del uso de formularios de la misma pagina web. Colocando un

codigo

> ASP
> > o JavaScript en los textbox de un formulario, dependiendo del
programador,
> > en muchos casos te ejecuta dicho codigo y puedes hacer lo que quieras.
> > Es similar al SQL Injection, error comun en algunos programadores al
hacer
> > SPs o relacionados a SQL.
> >
> > En el caso de los service pack y demas, el problema radica en que IIS,
por
> > lo menos en versiones un poco viejas, dejaban a la de dios algunas
cosas.
> A
> > tal punto que si colocabas una cadena especifica en la barra del
> navegador,
> > podias acceder directamente al codigo ASP sin compilar. Tal vez no lo
> podias
> > modificar pero si tenias un poco de suerte veias cadenas de conexion y
> > demas.
> >
> > No tengo los codigos a mano, pero espero haberte guiado un poco.
> >
> > Matias Iacono
> > Microsoft MVP
> >
> >
> >
> > "Alvaro G Vicario" wrote
in
> > message news:1g3815jrpai3m.dcmxunpbnnr3$
> > > *** Diego Uribe wrote/escribió (Thu, 15 Jul 2004 17:51:58 -0500):
> > > > Tengo una preguntica de seguridad, existe alguna manera de mirar

el

> > > > contenido de una variable de session desde el cliente?
> > > >
> > > > O tal vez ejecutar algún código asp desde el cliente, algo asi

como

un
> > > > response.write?
> > >
> > > ASP se ejecuta en el servidor web, no en el cliente. La forma de

mirar

> una
> > > variable de sesión en el cliente es escribirla en el servidor:
> > >
> > > response.write "<p>La variable pepito vale " & session("pepito") &
> "</p>"
> > >
> > > A mí no me se ocurriría hacerlo de otra forma. O eso o no te

entiendo

lo
> > > que quieres hacer.
> > >
> > >
> > > > Alguien sabe si tenemos problemas de seguridad utilizando asp?
> > >
> > > Sí, los hay. No conozco ningún lenguaje de programación 100% seguro.
> > >
> >
> >
>
>