Underc0de - Hacking y seguridad informática

Foros Generales => Dudas y pedidos generales => Mensaje iniciado por: rush en Enero 04, 2016, 04:33:31 pm

Título: [SOLUCIONADO] Problemas y preguntas LOGIN ASP.NET
Publicado por: rush en Enero 04, 2016, 04:33:31 pm
Buenas, hace tiempo estoy haciendo un proyecto, parece ser que no acabo de aprender y cada vez me topo con la pared cuando aparece cosas nuevas, ahora me toco la parte de hacer un login en asp.net, pero con diferentes tipos de usuario, en este caso solo tengo 2 tipos, usuarios visitantes y usuarios administradores, e buscado como crear un login, pero nadie habla mucho acerca de como ocultar links, opciones etc, jamas e creado un sitio o aplicación en la cual tenga mas de 1 tipo de usuario, así que no se como se manejan las vistas, lo mas fácil es que cree una vista para los usuarios y otra vista para los administradores, pero no se si es lo mas correcto o de que manera se tiene que hacer, esta es la estructura del sitio

(http://i.imgur.com/l42Oy5a.png)
(No juzguen la apariencia xD)

Esa seria la estructura del administrador, asi que ahi no tengo mucho problema, pero si yo quiero que entre un visitante, solo podra ver el area de catalogos, como puedo ocultar todo lo demas?, tengo que crear una nueva vista o una nueva master page o como es que funciona esto?, quiero que se vea de la siguiente manera.

(http://i.imgur.com/hBkpzpT.png)

Otra pregunta, ya lei la diferencia entre la cookie y sessiones, lo mas seguro es que utilice sessiones y les de un timeout, ahora como puedo validar que un usuario tenga permisos sobre esa ruta o no, la idea que tuve fue hacer una consulta que me devuelva el nombre de usuario y el tipo de usuario y subirlo a session
al tener el evento page_load verificar el el usuario es de tipo ADMIN o VISITANTE, dependiendo de estoy cargar la pagina o no, espero puedan ayudarme saludos.
Título: Re:Problemas y preguntas LOGIN ASP.NET
Publicado por: blackdrake en Enero 05, 2016, 09:09:04 am
Hola! te dejo un fragmento de código que tenía de una vieja web en asp.net

Login.aspx.cs
Código: ASP
  1.  try
  2.         {
  3.             SqlConnection conexion = new SqlConnection(StrCadenaConexion);
  4.             SqlCommand comando = new SqlCommand(StrComandoSql, conexion);
  5.             conexion.Open();
  6.             SqlDataReader reader = comando.ExecuteReader();
  7.             if (reader.Read())
  8.             {
  9.                 Session.Add("Id", reader.GetInt32(0));
  10.                 Session.Add("Nombre", reader.GetString(1));
  11.                 Session.Add("Rol", reader.GetString(2));
  12.                 e.Authenticated = true;
  13.                 reader.Close();
  14.                 comando.Dispose();
  15.                 conexion.Close();
  16.  
  17.                 if (Convert.ToString(Session["Rol"]) == "A")
  18.                     Response.Redirect("~/Admin.aspx");
  19.                 if (Convert.ToString(Session["Rol"]) == "U")
  20.                     Response.Redirect("~/Default.aspx");
  21.             }
  22.             else
  23.             {
  24.                 e.Authenticated = false;
  25.                 reader.Close();
  26.                 comando.Dispose();
  27.                 conexion.Close();
  28.                 lblEstado.Visible = true;
  29.                 lblEstado.Text = "El email o la contraseña introducidos no son válidos";
  30.             }

Personalmente, era de una tienda online, donde el administrador del sitio NO podía comprar (por eso lo redirijo automáticamente a admin.aspx).

Pero, en la master page, si que jugué con las sesiones para cargar algunas opciones del menú u otras (lo que tu puedes hacer, es una página idéntica para los dos y mostrar diferentes opciones así):

MasterPage.master.cs
Código: ASP
  1. protected void Page_Load(object sender, EventArgs e)
  2.     {
  3.         if (Convert.ToString(Session["Rol"]) == "U")
  4.         {
  5.             lblLogin.Text = "<ul class='nav navbar-nav'><li><a href='default.aspx'>Inicio</a></li><li><a href='catalogo.aspx?categoria=0'>Catalogo</a></li><li><a href='carrito.aspx'>Carrito</a></li>";
  6.             lblLogin.Text += "<li><a href='pedidos.aspx'>Mis Pedidos</a></li>";
  7.             lblLogin.Text += "<li><a href='perfil.aspx'>Mi cuenta</a></li><li><a href='contacto.aspx'>Soporte</a></li>";
  8.             lblLogin.Text += "<li><a href='logout.aspx'>Cerrar Sesión</a></li></ul>";
  9.         }
  10.         else
  11.         {
  12.             lblLogin.Text = "<ul class='nav navbar-nav'><li><a href='default.aspx'>Inicio</a></li><li><a href='catalogo.aspx?categoria=0'>Catalogo</a></li><li><a href='contacto.aspx'>Contacto</a></li>";
  13.             lblLogin.Text += "<li><a href='login.aspx'>Acceder</a></li></ul>";
  14.         }
  15.         if (Convert.ToString(Session["Rol"]) == "A")
  16.         {
  17.             lblLogin.Text = "<ul class='nav navbar-nav'><li><a href='default.aspx'>Inicio</a></li><li><a href='catalogo.aspx?categoria=0'>Catalogo</a></li>";
  18.             lblLogin.Text += "<li><a href='Admin.aspx'>Administración</a></li>";
  19.             lblLogin.Text += "<li><a href='logout.aspx'>Cerrar Sesión</a></li></ul>";
  20.         }
  21.     }

(http://i.imgur.com/Jmc5yL2.png)
(http://i.imgur.com/iUJJ3JW.png)
(http://i.imgur.com/TSSR0ZG.png)

NOTA: Los logins de asp por defecto son vulnerables a sqli, puesto a que era para clase hice una chapuzilla rápido para evitarlo, pero así te haces una ídea :D

Login.aspx.cs
Código: ASP
  1.  //Evitamos sqli --> 'or '1'='1
  2.     if (Login1.UserName.Contains("'") || Login1.Password.Contains("'"))
  3.     {
  4.         lblEstado.Visible = true;
  5.         lblEstado.Text = "Sqli Detectado";
  6.         sqli(ip);
  7.     }

(http://i.imgur.com/FF5WGHE.png)


Espero que te haya servido.

Saludos.
Título: Re:Problemas y preguntas LOGIN ASP.NET
Publicado por: rush en Enero 05, 2016, 01:11:49 pm
Gracias blackdrake, me diste varias ideas, supongo que para que no puedan acceder por url verificas los permisos en el page_load y si no estan logeados los rediriges, para lo de SQLI lei que haciendolo de esta manera se evitaba el fallo de seguridad:

(http://i.imgur.com/7gZnmuM.png)

Gracias por el gran aporte, no hubiera estado mejor explicado!
Título: Re:Problemas y preguntas LOGIN ASP.NET
Publicado por: blackdrake en Enero 05, 2016, 01:51:47 pm
Gracias blackdrake, me diste varias ideas, supongo que para que no puedan acceder por url verificas los permisos en el page_load y si no estan logeados los rediriges, para lo de SQLI lei que haciendolo de esta manera se evitaba el fallo de seguridad:

(http://i.imgur.com/7gZnmuM.png)

Gracias por el gran aporte, no hubiera estado mejor explicado!

Exacto, también es una posibilidad (yo lo hice también así porque guardaba los intentos de sqli en la BD).

Citar
supongo que para que no puedan acceder por url verificas los permisos en el page_load y si no estan logeados los rediriges
Exacto :D

Doy el tema por solucionado entonces @rush (https://underc0de.org/foro/index.php?action=profile;u=37736)?

Saludos.
Título: Re:Problemas y preguntas LOGIN ASP.NET
Publicado por: rush en Enero 05, 2016, 02:11:14 pm
Solo una cosa mas, en las sessiones, como para destruir la session se usa Session.Clear()?
Que pasa si varios usuarios inician sesion con el mismo usuario?
Título: Re:Problemas y preguntas LOGIN ASP.NET
Publicado por: blackdrake en Enero 05, 2016, 02:53:00 pm
Solo una cosa mas, en las sessiones, como para destruir la session se usa Session.Clear()?
Que pasa si varios usuarios inician sesion con el mismo usuario?

Puedes utilizar:

Código: ASP
  1. Session.Clear();
  2. Session.Abandon();

En cuanto a: Que pasa si varios usuarios inician sesion con el mismo usuario?

No pasaría nada, cada uno se trataría como usuarios "independientes" pudiendo cerrar sesión cada uno cuando quisiera.

Obviamente si se modifica por ejemplo el perfil, al ser la misma cuenta, verían todos el cambio.

Saludos.
Título: Re:Problemas y preguntas LOGIN ASP.NET
Publicado por: rush en Enero 05, 2016, 02:56:43 pm
Ok gracias por tus respuestas blackdrake, puedes darlo por solucionado excelente ayuda!