Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

Tkfé

.Net passionnément, tout simplement

Actualités



  • Frédéric Mélantois
    A part boire du café ou du thé à longueur de journées, il m'arrive de coder ;-)
    Petite citation :
    Je n'éblouis pas mon entourage, je le fais rayonner. F.M. @1986
Contrôler la taille de vos champs de formulaire !
Prenez l'habitude de contrôler côté serveur la taille de vos champs en ASP.NET ou autres.
Beaucoup s'imagine que de placer une textbox ou un input avec un maxlength suffit. Et bien non...
 
Pour vous en persuader, utilisez un serveur de test. Créez un formulaire dont les champs seront placés dans un mail après avoir appuyé sur le bouton Valider.
Munissez bien évidemment les textbox de maxlength.
 
Exécutez votre page dans votre navigateur favori. Enregistrer la page sur votre disque. Faîtes une recherche de ' Recherchez tous les maxlength. Effacez-les. Sur le OnSubmit du formulaire, remplacer le javascript par "return true;". Enregistrez votre page.
 
Lancez votre page dans le navigateur et remplissez abondamment les champs puis validez.
 
Que peut-il arriver ?
 
Après avoir effectué ces tests sur un serveur de test, J'ai
 
- affolé le destinataire par le volume important des mails
- j'ai bloqué la boîte Email du destinataire
- en allant un peu plus fort, j'ai eu un message "Mémoire saturée" du serveur ASP.NET
- et puis, je suis arrivé à avoir une erreur d'un objet COM
- Enfin, au final, j'ai mis par terre le serveur de mail, en répétant mes requêtes sur un très court laps de temps.
 
Toutes ces explications, pour vous montrer qu'il est important de contrôler / Valider côté serveur. Même si on n'a pas de base de données derrière !
 
Je précise que je ne fais pas l'apologie de la malveillance mais bien de la protection.Contrôler la taille de vos champs, pour limiter la casse !
Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
Posted: vendredi 24 mars 2006 09:19 par tkfe
Classé sous : ,

Commentaires

sebmafate a dit :

à quand une série d'articles sur les bonnes manières en matière de sécurité ?
# mars 24, 2006 09:45

tkfe a dit :

je ne suis pas assez expert pour cela. Et puis je suis retraité ;-)
# mars 24, 2006 10:17

cyril a dit :

Oula, ta technique pour forcer les champs, et un peu compliqué.

Perso j'utiliserais fiddler ( http://blogs.developpeur.org/azra/archive/2005/10/27/Fiddler_analyser_les_communications_AJAX.aspx ) : Je fais une requete, et je peux modifier la requete http (donc rajouter des champs, etc...) directement dans fiddler :)
# mars 24, 2006 10:23

white_mage(); a dit :

Cela semble quand même très logique.
C'est comme les sites ou des valeurs sont stockée dans des champ hidden ! Ne jamais faire confiance à ces valeurs. L’utilisateur malintentionné peut (avec la même methode) mettre ce qu’il veut.
J’ai vu un site ou un champ caché nommé « admin » était égal à zéro. Imaginez ce qu’il se passait quand on la mettait à 1 !?!
# mars 24, 2006 10:34

tkfe a dit :

je vais pas détailler tous les outils qui existent, mon but c'est pas de hacker, c'est de sensibiliser.
# mars 24, 2006 10:48
Les commentaires anonymes sont désactivés

Les 10 derniers blogs postés

- Avoir une propriété sur l'object context qui renvoit les sous-entités v2 par Matthieu MEZIL le il y a 5 heures et 22 minutes

- WPF : la gestion des dates (Label, TextBlock) par Pierrick's Blog le il y a 11 heures et 3 minutes

- [ASP.NET] - ASP.NET Generated Image par Aurelien's Blog - When ClientSide meets .Net le il y a 12 heures et 31 minutes

- Utiliser le SDK Open XML pour manipuler vos documents Office Open XML par Julien Chable le il y a 13 heures et 45 minutes

- [Silverlight] - Créer un contrôle réutilisable et des propriétés personnalisées. par Danuz le il y a 17 heures et 2 minutes

- Photosynth : Composez et partagez vos scènes ! par Blog technique de Nicolas Boonaert le il y a 17 heures et 5 minutes

- Comment débugger un programme de génération de code utilisé dans VS ? par Matthieu MEZIL le il y a 17 heures et 6 minutes

- Avoir une propriété sur l'object context qui renvoit les sous-entités par Matthieu MEZIL le il y a 17 heures et 18 minutes

- Sortie du SDK 1.1 de Visual Studio 2008 par Michel Perfetti [Miiitch] le il y a 19 heures et 52 minutes

- Skyfire, Silverlight sur votre mobile ! par alex# le il y a 20 heures et 9 minutes