Discussion :

[CUCARACHA]

Salut,

Je viens de m'appercevoir que mon serveur de prod s'est fait hacker par SQL injection...

Je suis dégouté, c'est la vielle partie de l'appli encore en ASP3 qui a morflé.

J'i trouvé des tables en plus, le mec ou la fille semble avoir scanné toute ma bécane...

J'ai retrouvé le rédultat d'un dir sur c:\

C'est déjà arrivé à quelqu'un ?

D'avance merci

Laurent

[Keihilin]

Je viens de m'appercevoir que mon serveur de prod s'est fait hacker par SQL injection...

J'ai retrouvé le rédultat d'un dir sur c:\

• Tables en plus = Code ASP pourri (impardonnable avec les 100'000 articles qui traitent de comment se protéger des injections SQL)
• Dir sur C:\ = Installation basique de IIS sans se poser de question qui a permis un accès à cmd.exe (impardonnable pour un serveur de prod).

En conclusion, pas grand chose à voir avec la rubrique dotnet. Je te suggère d'aller demander de l'aide dans les rubriques "ASP" et "Sécurité" et de chercher de la doc sur IIS.

[CUCARACHA]

Salut,

Merci de l'info, concernant les impardonnables, je suis d'accord toutesfois, je n'ai pas toujours le temps de tout gêrer...

++

Laurent

[Louis-Guillaume Morand]

si tu as un "dir c:/" c'est pas forcément du SQL injection...

non?

[CUCARACHA]

Salut,

Le résultat du Dir C:\ est bien tombé dans une nouvelle table SQL en tous les cas...

+

Laurent

[Louis-Guillaume Morand]

trouvé sur un autre site, un article à propos du SQL injection et surtout la promotion d'un outil qui pourrait te servir

http://www.microsoft.com/downloads/d...displaylang=en

[CUCARACHA]

Merci beaucoup, ça c'est super sympa, en plus comme je dois faire certifier mon application par microsoft, ça va certainement très bien me servir.

Merci

++

Laurent

[Louis-Guillaume Morand]

avant de t'attaquer à cela, tu as déjà fait le process de certification de bout en bout? t'as déjà lu en entier le white paper pour cela et les mois de fignolage que ca demande?
j'avais étudié la certification vista et c'est pas pour rien que la première appli certifiée Vista était attachmate et ca faisait trois mois qu'ils travaillaient AVEC Microsoft pour avoir cette première application ayant réussi la certification. c'est énormement de petits trucs "à la con" qui ne garantissent même pas une qualité d'application...


néanmoins, si tu peux tester l'appli, bien que je ne fasse plus d'asp, ca m'intéresserait d'avoir un retour, au moins sur la facilité d'utilisation

[CUCARACHA]

Mon appli est une SAAS... Il suffit de deployer l'appli dans un virtual server et de l'envoyer à Veritest.

Si ton appli fonctionne sans jouer à pac man sur la mémoire, normalement c'est bon.

Ca permet de devenir Microsoft Certified Partner, c'est la suite de Microsof Refrenced partner que tu obtiens en souscrivant à EM Power.

Franchement après 4 année d'exploitation avec juste un petit hacking de rien la semaine dernière réparé en moins de 48 heures (en refaisant toute la sécurité de l'appli), si j'ai pas la certif c'est pas juste... Mais bon, si la vie était juste, qu'est-ce qu'on se ferait ...

++

Laurent

P.S. Si tu as l'adresse du white paper, je suis preneur

[SaumonAgile]

Franchement après 4 année d'exploitation avec juste un petit hacking de rien la semaine dernière réparé en moins de 48 heures (en refaisant toute la sécurité de l'appli), si j'ai pas la certif c'est pas juste...

Tu veux dire qu'une application qui était un nid de vulnérabilités il y a une semaine et que tu aurais "sécurisée" en 48h est un candidat potentiel pour une certification simplement parce que tu l'as labellisée SAAS ?

J'ai du mal à te suivre quand même, surtout quand tu trouves que ce serait injuste qu'elle n'obtienne pas la certification compte-tenu de son lourd passif.

[CUCARACHA]

Laisse tomber on glisse dans le trolling... Je rappelle que je suis seul pour développer, maintenir, héberger, vendre, promouvoir cette appli et que je fais ça en plus de mon boulot de consultant, donc je fais ce que je peux.

Je ne l'ai pas Labélisée SAAS... C'est une application hébergée, elle existe depuis 2004. Les marketeux de microsoft on créé ce label car HA pour hosted application ça faisait pas assez rock'n'roll c'est tout

Tout le monde me critique mais bon, elle me rapporte un peu plus qu'elle ne me coute et me finance mon serveur en ligne... c'est tout.

La nouvelle version va tout déchirer, je veux faire certifier l'ancienne avant de faire certifier la nouvelle.

Voila

Et je rappelle que la certification microsoft, c'est pas accordée par microsoft mais par des organismes indépendants.

++

Laurent

[Louis-Guillaume Morand]

c'est sûr que le logo Microsoft Certified Partner, ca aide pour le client qui y pige quedalle mais il suffit que tu tombes sur n'importe quelle personne qui ait un minimum de technique et il ira normalement chercher plus loin que juste ca.


pour le reste, c'est pareil que saumonagile, 48h de securisation, je trouve que c'est un peu court sur une appli de 4ans. Par contre je trouve exagéré de dire "nid à failles" sans avoir testé l'appli...
Je te conseille de louer les services d'expert en sécurité. Je suis dans une banque et derrière nous, modestes développeurs, ils ont une SSII qui ne fait que des tests de sécurité et bah je t'assure que quand tu fais une semaine de test de sécurité (white box, black box, sql injection) et que eux passent derrière, ils te sortent des failles quand ils veulent. la dernière appli, ils ont pas eu besoin d'utiliser Nexus (outil de test de sécu) pour nous pondre un rapport de 64 pages de failles. La sécurité c'est un métier à part entière et c'est même moi qui m'y intéresse depuis des années, je me sais incompétent sur la chose et je pense même pouvoir être capable de très rapidement planter ton application.

enfin tout çà pour te dire, de passer la certif si tu le souhaites mais j'aurais de gros doutes en cette certification si ton application la passait comme ca du premier coup


ps: t'as un lien vers ta certification? car je ne connais que SaaS (Sofware as a Service) et c'est juste un principe d'appli pour moi

[Keihilin]

Les marketeux de microsoft on créé ce label car HA pour hosted application ça faisait pas assez rock'n'roll c'est tout

Une mini-précision vu qu'on est pas à une dérive prêt...

Ce ne sont pas les "marketeux" de Microsoft qui ont lançé le terme SAAS.
Des sociétés telles qu'IBM et Citrix ont commencé à employé ce terme en remplacement/complément d'ASP dès l'an 2000.

Par contre, sans critiquer, je me demande comment ton application peut se vendre alors qu'il existe une multitude de cms opensource extrêmement aboutis sur le marché.
Tu vends un pack licence d'utilisation + hébergement ?

[CUCARACHA]

Ben j'ai des clients depuis des années et il est bien mieux que beaucoup de CMS Open source super aboutis... C'est sur que c'est pas en voyant le front office qu'on peut voir tout ce qu'il fait...

C'est pas juste un CMS, c'est une plate forme d'hébergement mutualisée (A géomértrie variable : Monoi serveur, Bi Serveur ou multiserveur en SOA).
C'est aussi une plateforme de déploiement de briques logicielles spécifiques (qui permettent la capitalisation des code source).

Mon appli est certainement très nulle mais je peux te dire qu'elle n'a rien à envier à maniolia ou meme à office live.

Elle est Ajax depuis bien avant que ce mot ne commence à se vulgariser...

En fait au début je pensais que c'était la qualité de l'appli, les détails etc qui feraient le succès de mon programme. En fait ce sont mes utilisateurs qui l'ont fait... Chacun sa suggestion et tous leur ammélioration.

J'ai pas cinquante mille certif, j'ai un (ou quelques) programme(s) qui fonctionnent , mes clients sont contents, moi aussi, tout va bien.

J'ajoute que je travaille souvent dans des grosses boites qui ont levées pleins de millions d'euros et bien je crois pouvoir dire que le bon sens c'est parfois plus puissant que les millions d'euros...

J'aimerais que l'on arrête de parler de ça, c'est pas l'objet de la discussion, si vous voulez parler de mon appli, je répondrais volontier à vos questions mais en privé.

++

Laurent

Ce ne sont pas les "marketeux" de Microsoft qui ont lançé le terme SAAS.

Je n'ai jamais entendu ce terme avant l'année dernière d'où mon erreur (meaculpa). Je ne vends que du service, le CMS n'est qu'un support c'est tout. Ça s'utilise qu'en ligne. Aucune installation chez le client.

Au lieu de développer un nouveau site a chaque fois, je fais avec ce que j'ai et s'il manque une fonction je la rajoute. L'architecture de l'application était conçue pour ça. Tout est organisé autour d'un moteur de référencement naturel automatique qui marche très bien (si l'on en juge par le PR des sites de mes clients)

J'ai du réfléchir très longtemps pour pouvoir transformer cette application en dot net car l'esprit a vraiment changé depuis ASP et puis il a fallu que l'apprenne. Aujourd'hui, je pense être arrivé à un bon résultat. Je vais bientôt pouvoir passer en prod sur ma V3. mais c'est loin d'être simple. En plus j'ai pas eu le temps de finir mon appli pendant deux année (même prolongées d'une troisième) d'EM Power. Pour pouvoir poursuivre le programme et avoir les outils qu'il me faut, je dois impérativement faire certifier cette application.

++

Laurent