Asp, Php, .Net

[andreaxl]

Pessoal estou com o seguinte problema. Trabalho com esses ambientes de desenvolvimento. Em todos eles sempre programei sem me preocupar com segurança. So que agora me deparei com esse problema onde trabalho. Estou precisando criar uma aplicação asp e o cliente exigiu que o script trabalhasse segurança. Por favor, é urgente, alguém poderia me dizer onde encontro regras de segurança para a programação??? To precisando muito disso.. sei q devo barrar por exemplo a passagem de alguns caracteres especiais nos campos type=text.. quero esse tipo de dica...

muito obrigado.

André Aguiar.

[Clemente Silva]

Bom, segurança aí tem vários níveis.

Se você quer evitar por exemplo, acesso indevido à base de dados, tem que criar rotinas que validem as entradas dos usuários (isso é importante) de modo à impedir tentativas de invasão, como por exemplo o uso de "SQL Injection", ou mesmo para evitar erros de digitação que venham disparar erros que retornam estruturas de tabelas e nomes de campos (isso é perigoso).

Outro ponto de reforço na segurança é você criar "perfis" para acesso ao sistema: por exemplo, crie uma estrutura que permita à um administrador habilitar ou desabilitar relatórios, botões, campos, links, etc...

Depois é só o administrador atribuir determinados perfis no cadastro de cada usuário, de modo que quando esse usuário logar no sistema, apareça na tela dele apenas os itens que o administrador liberou no perfil atribuído.

Outra ideia é usar uma rotina qualquer para criptografar nomes de usuários e senhas ANTES de enviar o formulário, descriptografando depois do Request (no caso do ASP), para fazer a validação do login. Isso ajuda os dados à trafegarem com um pouco mais de segurança. Bem pouco, mas é melhor que mandar pra rede "Usuário Fulano" e "Senha 123", mesmo que não seja por QueryString.

Bom, é mais ou menos por aí...

[andreaxl]

Clemente... brigadão.. um dos pontos que o clientes tocou foi o de sql injection.. muito obrigado pelos conselhos e pelo link sobre o assunto... de qualquer forma se alguém souber mais sobre o assunto posta mais coisas ai... mas já foi uma ajuda e tanto...

André Aguiar.

[Guilherme Blanco]

As melhores dicas são:

- Nunca confie no seu usuário.

- Trate tudo o que receber de dados, quer ele seja proveninente internamente (do script) ou externamente (do usuário, do navegador).

Previna tentativas de hack usando funções simples de manipulação de strings.

Exemplificando... você poderia inibir a inserção do usuário de caracteres "escapáveis" (aspas, apóstrofe e crase), espaços em branco ou o caracter url decodificável %20, que é o espaço em branco.

Você poderia forçar um cast de tipo de variável, usando int para inteiros (Dizem que no PHP não é possível isto, mas vou mostrar como é possível e como é simpels), float para números reais...

Ah... o PHP:

$valor_inteiro = (int) $qualquer_valor_ou_string;

Bem... pense que pra tudo o que você requisitar ao usuário pode ser uma brecha para uma invasão e faça o possível e o impossível para filtrar os dados que por ali passam.

[]s,

[foxfirediego]

Postado Originalmente por Clemente Silva@01 de janeiro de 2005, 18:44

Bom, segurança aí tem vários níveis.

Outro ponto de reforço na segurança é você criar "perfis" para acesso ao sistema: por exemplo, crie uma estrutura que permita à um administrador habilitar ou desabilitar relatórios, botões, campos, links, etc...

←

isso me interessou, existe algo pronto ou que posso me indicar? estou interessado principalmente em links pois vou criar uma página pessoal e gostaria que só aparececem alguns links para os meus amigos...

grato!