/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Er serverside-koden i asp-fi
Fra : Jørgen L Sørensen


Dato : 17-04-02 20:58

Hej

Kan man gå ind med et eller andet værktøj og høste alt hvad der ligger
på et websted, inclusive .asp (den rå kode),.inc, databaser, .js osv?

..asp filer bliver jo som bekendt behandlet af serveren inden de bliver
vist i browseren. Dermed kan brugeren normalt ikke se de scripts, og
kodeord, der køres på serveren.

Jeg har brugt nogen tid på at læse NG og kan se at det ofte tilrådes
at omdøbe .inc filer til .asp hvis de f.eks. indeholder kodeord. Men
jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang til
mapperne på webstedet - så er det vel blot et spørgsmål om at have et
værktøj der henter revl og krat - eller ???

mvh
Jørgen L Sørensen

 
 
Jakob Andersen (17-04-2002)
Kommentar
Fra : Jakob Andersen


Dato : 17-04-02 21:05

"Jørgen L Sørensen" <neryt@email.com> wrote in message
news:9a671265.0204171157.7c0ef62@posting.google.com...
> Jeg har brugt nogen tid på at læse NG og kan se at det ofte tilrådes
> at omdøbe .inc filer til .asp hvis de f.eks. indeholder kodeord. Men
> jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang til
> mapperne på webstedet - så er det vel blot et spørgsmål om at have et
> værktøj der henter revl og krat - eller ???

Lad os sige at du har i din include fil følgende kode:

<%
' noget hemmeligt
%>

vil dette hvis du kalder din fil for .asp blive parset af ASP fortolkeren
FØR det bliver sendt tilbage til brugeren, ganske som en almindelig ASP fil
derfor vil ingen kunne se det hemmelige.

Et andet alternativ er at lægge include filerne udenfor den mappe der kan
tilgås udefra, man har oftest en mappe hvor alle dokumenter der skal
publiceres på web ligger, hvis man ligger sine include filer udenfor denne
mappe kan de ikke tilgås udefra overhovedet.

--
Jakob Andersen



Lars Grove Mortensen (17-04-2002)
Kommentar
Fra : Lars Grove Mortensen


Dato : 17-04-02 22:35

Du kan jo lade det komme an på et forsøg. Prøv eksempelvis programmet
"Teleport Pro" som er et fantastisk værktøj til at hente alt indhold fra
et givent websted - og dermed lave en offline version af dette.

--
KONKURRENCE PÅ HTML.dk:
fortæl hvordan din drømmeeditor ser ud
og vind luksus webhoteller fra Wannafind
KLIK HER! => http://www.html.dk/editor

Kim Jensen (18-04-2002)
Kommentar
Fra : Kim Jensen


Dato : 18-04-02 09:58

> Du kan jo lade det komme an på et forsøg. Prøv eksempelvis programmet
> "Teleport Pro" som er et fantastisk værktøj til at hente alt indhold fra
> et givent websted - og dermed lave en offline version af dette.

....som heller ikke kan aflure ASP-koden. Den vil alene hente det samme som
en tilfældig browser.


mvh
Kim Jensen



Jakob Møbjerg Nielse~ (18-04-2002)
Kommentar
Fra : Jakob Møbjerg Nielse~


Dato : 18-04-02 11:39

> Men jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang
> til mapperne på webstedet

Men kun gennem HTTP. Når webserveren får et HTTP request på en .asp fil,
så kan du være helt sikker på at den bliver fortolket først.

Men som Jakob foreslår, så er det en *meget* god ide at lægge includes
udenfor www-root. Derved kan Mallory under ingen omstændigheder få fat i
filen.

--
Jakob Møbjerg Nielsen
jakob@dataloger.dk
"Hey! He reminds me of someone who looks just like him. - Me"



Janus Klok Lauritsen (18-04-2002)
Kommentar
Fra : Janus Klok Lauritsen


Dato : 18-04-02 12:34

Som folk så rigtig siger kan ASP koden ikke læses, heller ikke hvis du
henter et helt site ned.
Dog skal det siges at der findes op til flere bugs i IIS der tillader at se
asp koden, hvis ikke din server er opdateret.
Så sent som den 17-04-2002 blev der indrapporteret (Til
bugtraq@securityfocus.com ) et ny hul i CodeBrws.asp. Denne er ellers
forsøgt sikret tidliger, men de fik åbenbart ikke det hele med...
Problemet denne gang er at scriptet som installeres sammen med IIS, for at
vise indhold af sample asp siderne, ikke filtrere i Unicode tegn.
Derfor ville noget ligende:
/iissamples/sdk/asp/docs/CodeBrws.asp?Source=/IISSAMPLES/%c0%ae%c0%ae/defaul
t.asp
Være muligt :(
Sørg for at din IIS er opdateret og slå alle sites (inklusiv MS
/IISSamples ) du ikke bruger fra...Så skulle de fleste sider være sikret
(Indtil næste hul ).
Mvh
Janus

"Jørgen L Sørensen" <neryt@email.com> wrote in message
news:9a671265.0204171157.7c0ef62@posting.google.com...
> Jeg har brugt nogen tid på at læse NG og kan se at det ofte tilrådes
> at omdøbe .inc filer til .asp hvis de f.eks. indeholder kodeord. Men
> jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang til
> mapperne på webstedet - så er det vel blot et spørgsmål om at have et
> værktøj der henter revl og krat - eller ???




Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste