SERVICE WEB

Signaler
Messages postés
6814
Date d'inscription
dimanche 15 décembre 2002
Statut
Modérateur
Dernière intervention
13 octobre 2010
-
Messages postés
106
Date d'inscription
lundi 24 novembre 2003
Statut
Membre
Dernière intervention
27 septembre 2019
-
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/43417-service-web

Messages postés
106
Date d'inscription
lundi 24 novembre 2003
Statut
Membre
Dernière intervention
27 septembre 2019

Bonjour,
quelque soit la page aspx, j'ai ce message d'erreur :

Erreur du serveur dans l'application '/'.
--------------------------------------------------------------------------------

Erreur de configuration
Description : Une erreur s'est produite lors du traitement d'un fichier de configuration requis pour répondre à cette demande. Veuillez consulter ci-dessous les détails relatifs à l'erreur en question, puis modifier votre fichier de configuration de manière appropriée.

Message d'erreur de l'analyseur: L'utilisation d'une section inscrite comme allowDefinition='MachineToApplication' au-delà du niveau d'application est une erreur. Cette erreur peut provenir d'un répertoire virtuel non configuré en tant qu'application dans IIS.

Erreur source:

Ligne 72 : ASP.NET to identify an incoming user.
Ligne 73 : -->
Ligne 74 :
Ligne 75 : <!--
Ligne 76 : The <customErrors> section enables configuration


Fichier source : D:\DEV - Developpement\WEB - ASP HTM PHP\asp\webservice\web.config Ligne : 74

--------------------------------------------------------------------------------
Informations sur la version : Version Microsoft .NET Framework :2.0.50727.3607; Version ASP.NET :2.0.50727.3082
Messages postés
6814
Date d'inscription
dimanche 15 décembre 2002
Statut
Modérateur
Dernière intervention
13 octobre 2010
22
Après une rapide lecture du code, dans le fichier WebService.vb il y a une enorme faille de sécurité de type SQL Injection. En effet ton webservice prend un "indice as string" que tu injectes directement dans la requete SQL. si l'utilisateur met "'; DROP table users; --" dans la variable indice alors tu as supprimé la table users ...