Предвариательня обработка cookies, form, querystring в asp (не .net)

gnum

gnum
Статус: Offline
Реєстрація: 03.05.2004
Повідом.: 3522
Предвариательня обработка cookies, form, querystring в asp (не .net)

Как в asp можно в одном месте проверить и отрихтовать(!) все входящие данные? В php, например, можно пройтись по всем элементам GET, POST и т.п. и сделать с содержимым что нужно, запихнуть обратно - весь остальной код этого и не заметит.

А здесь?

О хакинге речь не идёт, а скорее - наоборот. Есть обширный проект и править точки соприкосновения со внешним миром везде - как-то не радует.
 
А что, в АСП это все рид-онли?
 
В теории я не заметил, что где-то об этом написано в явном виде. Но везде пишут "для чтения" или с подобным смыслом.
На практике - при попытке перезаписи коллекции или при попытке записи в члена коллекции чего-нибудь генерируется ошибка.

Мож, есть какая-то хитрая настройка...
 
Ну как вариант - поправить отдаваемые клиенту формы/ссылки, дополнить их жабаскриптами ну и прочие изыски, чтобы на сервер приходили уже корректные данные. Какого вида тебе правка нужна?
 
Нет, получаемые извне данные по-умолчанию считаются опасными - систему с завидной периодичностью пытаются хачить и sql-инжектить.

Собственно, из-за последнего и возник вопрос - херить все подозрительные последовательности символов (которые могут говорить о попытке инъекции). Полный аудит системы невозможен, ищу срочный выход
 
Навскидку - придется городить свой ISAPI-фильтр для предварительной обработки заголовка запроса.... :(
 
Ндя. Приехали. Тяжелое наследство.
Собсно даже если бы можно было менять входные данные - все равно потребуется анализ каждого случая. Да конечно будут некоторые общности, можно попробовать обойтись мэджикквотесом и иже с ним, однако по-хорошему надо каждый раз понимать ОДЗ параметров и на эту ОДЗ проверяться. Т.е. предложенный ИСАПИ-фильтр будет в виде огромного свича :( и без глубокого понимания каждого Гета и Поста не обойтись...
Кроме ИСАПИ можно еще попробовать поставить на входе прозрачный прокси с возможностью модификации на лету заголовков и контента - понятно что косое решение, но прямого тут и не будет :-/
 
Там есть общие сценарии для применяемых инъекций, на базе которых можно строить фильтрацию. Ну пострадал бы ма-а-а-аленький процент пользователей, которые, например, в тексте использовали бы "неблагонадёжное" слово...
 
Что такое "общий сценарий" инъекций? :)
Давай линк ресурса, мы тебе накидаем инъекций не на сценарий, а на эпическую сагу :)
Твоя проблема не в том, что кто-то додуплит вставить в поле ввода или в значение параметра: " union drop table users --
Додуплят и не такое ;)
Проблема в том, что таких мест дофига и больше и эти места очень разнообразные.
 
Ви повинні увійти або зареєструватися, щоб відповісти.
Назад
Зверху Знизу