Problème de Piratage de Votes Urgent !!!Résolu

Question

Bonjour à tous, J'ai lancé depuis deux semaines un concours de miss sur le web et quelqeus petits malins ont trouvé le moyen de "pirater" les scores en contournant les vérifications d'adresse IP et de date , ce qui fait que certaines candidates se trouvent actuellement avec des scores astronomiques alors que d'autres se trouvent "honnêtement" dans les dix dernières... Voici le code utilisé: <% sDate = ( Day(now()) & Month(now()) & Year(now()) ) sIPAddress = request.ServerVariables("REMOTE_ADDR") sMistressName = request("MistressName") sqlIPAddress "SELECT IPAddress.* FROM IPAddress WHERE IPAddress '" & sIPAddress & "' AND pollname = '" & sMistressName & "' ORDER BY IPAddress, pollname" Set rsIPAddress = Server.CreateObject("ADODB.RecordSet") rsIPAddress.Open sqlIPAddress, conn, 3, 3 sqlVote "SELECT * FROM Votes WHERE pollname '" & sMistressName & "' ORDER BY pollname ASC" Set rsVote = Server.CreateObject("ADODB.RecordSet") rsVote.Open sqlVote, conn, 3, 3 If Request("action") = " Vote for Me !!! " Then With rsVote .Fields("totalpoints") = Request("vote") .Fields("totalvotes") = Request("totalvotes") .Update End With With rsIPAddress .AddNew .Fields("pollname") = sMistressName .Fields("IPAddress") = sIPAddress .Fields("Date") = sDate .Update End With End If %> <% Score = rsVote.Fields(\"totalpoints\") %> My Actual Score is

, ---- ----, \"> <%= Score %> Points <% If rsIPAddress.eof Then %> +1"> "> "> "> "> <% Else %> <% End If %>

">	">	">	">	" checked>	">	">	">	">	">
1	2	3	4	5	6	7	8	9	10

Thank you for voting...

<% rsIPAddress.close() rsVote.Close() Set rsIPAddress = Nothing Set rsVote = Nothing %> Si quelqu'un a une idée ou a déjà rencontré le même problème, ce serait vraiment très sympas pour les miss non-piratées. Merci de vos avis éclairés. Amicalement vôtre simonloubs

cs_Nurgle · Accepted Answer

Salut,

Je vois l'endroit o&#249; tu ajoute un vote mais je ne vois rien dans ton code qui emp&#234;che de cliquer 150 fois sur "Vote for Me"...

Nurgle

jesusonline · Answer

T'es gentil de laisser la cl&#233; du serveur aux inconnus :) 

le probl&#232;me se trouve dans ton horrible requete sql inject&#233; ... (je suis pas aller plus loin que ca) 

sMistressName = request("MistressName")
sqlIPAddress "SELECT IPAddress.* FROM IPAddress WHERE IPAddress '" & sIPAddress & "' AND pollname = '" & sMistressName & "' ORDER BY IPAddress, pollname"

&#224; partir de la tu peux faire ce que tu as envie !!! tu demande &#224; l'utilisateur de directement taper du sql dans ta base !!! Il y a pleins d'exemples montrant les mefaits des requetes inject&#233;s, utilise plutot les proc&#233;dures stock&#233;s beaucoup plus sur..... :)


<HR>
Cyril - MVS - MCP ASP

simonloubs · Answer

Nurgle, la ligne suivante r&#233;pond &#224; ta question:

et plus haut
<% If Request("action") = " Vote for Me !!! " Then 
    With rsVote
        .Fields("totalpoints") = Request("vote")
        .Fields("totalvotes") = Request("totalvotes")
        .Update
    End With

    With rsIPAddress
        .AddNew
        .Fields("pollname") = sMistressName
        .Fields("IPAddress") = sIPAddress
        .Fields("Date") = sDate
        .Update
    End With

End If
%>

Mais je pense plut&#244;t que le probl&#232;me comme dit Cyril, doit venir de mon "horrible requ&#234;te inject&#233;e," je vais creuser la question des proc&#233;dure stock&#233;e, excellente suggestion. Comme quoi quand on veut faire vite, ce n'est JAMAIS bien prot&#233;g&#233;...

Merci de vos avis...

Simon

Amicalement v&#244;tre
simonloubs

cs_Nurgle · Answer

L'extrait de code que tu viens de me donner ajoute un vote, mais ne v&#233;rifie pas en lui-m&#234;me si l'adresse IP utilis&#233;e est d&#233;j&#224; pr&#233;sente.
C'&#233;tait le  "If rsIPAddress.eof Then" que je n'avais pas vu...

Bon, je vais t'expliquer ce que je voulais dire :
Imaginons que je sois un hacker assez gentil (et assez con ) pour ne pas faire d'injection SQL...
Je clique sur "Vote For Me", et d'apr&#232;s le code que tu m'as donn&#233;, &#231;a ajoute une ligne (un vote) avec mon adresse IP et &#231;a recharge donc la page avec cette fois &#233;crit "Thank you for voting...".
Ensuite je clique sur "Pr&#233;c&#233;dent" et &#231;a me recharge (&#224; partir du cache du navigateur) la page avec le "Vote For Me", je reclique sur "Vote For Me", &#231;a ajoute encore une ligne avec un nouveau vote mais la m&#234;me adresse IP, et ainsi de suite.
Il y a probl&#232;me de conception : dans le "If Request("action") = " Vote for Me !!! "" tu dois v&#233;rifier aussi si il a d&#233;j&#224; vot&#233; (en plus de v&#233;rifier au chargement de la page) !
De plus il est extr&#232;ment simple de simuler des requ&#234;tes post avec certains programmes, donc tu dois faire cette v&#233;rification.

De plus, faire &#231;a en fonction de l'adresse IP est totalement sucuidaire car il reste beaucoup de gens qui sont en bas d&#233;bit, et dont l'adresse IP change le plus souvent &#224; chaque d&#233;connexion/reconnexion.

Sans oublier l'injections SQL (&#231;a me rappelle une certaine session de R&#233;do l&#224; dessus aux Student Days, il doit bien y avoir un webcast l&#224; dessus...je vais chercher ) qui ne va pas vraiment permettre aux gens d'ajouter des votes, mais plut&#244;t de faire du bordel dans ta base (supprimer des tables, etc...).

Nurgle

Problème de Piratage de Votes Urgent !!!

4 réponses

Votre réponse

Discussions similaires