Ich habe ein Problem mit einem meiner Web-Projekte.
Die Site ist grunds�tzlich so aufgebaut, da� jede ASP_Seite mit
<%If Request.Cookies("user")("login") <> "ok" then
response.redirect "logon.asp"
End IF
If Request.Cookies("user")("ReadThis") <> "R" then
response.redirect "nichtberechtigt.asp"
End IF
%>
Also - wenn eine Seite aufgerufen wird, ohne eingeloggt zu sein -->
Loginseite
Wenn zwar eingeloggt, aber nicht ausreichend Berechtigung --> Fehlermeldung
Nun, soweit, so gut.
Das Login ber�cksichtigt �brigens, da� keine eingaben wie
' OR '1=1
eingegeben werden k�nnen.
Sache ist nun, da� jemand behauptet, "alle Daten auch ohne Passwort einsehen
zu k�nnen" - jedoch nicht bereit ist, zu verraten, wie das geht.
Ich habe nun alle Logfiles durchgeackert, und einigen Zugriffen auf
"nichtberechtigt.asp" nichts komisches entdecken k�nnen.
Das einzige, was ich mich jetzt frage ist, ob es irgendwie m�glich ist,
Daten in den Cookies so zu �ndern, da� jemand als User beispielsweise
"Admin" eintragen k�nnte?
Stefan.
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
