Nytt säkerhetshål i ASP!!!

[Robban]

Well, kanske inte så allvarligt som rubriken antyder (ville ju få er att läsa).

Men faktum är att ännu en "feature" upptäckts som gör det möjligt att läsa källkoden under vissa förutsättningar (har själv provat, och det fungerar som beskrivet).

Saxat ur ett inlägg till Bugtraq:

Citat:

Active server pages (ASP) with runtime errors expose a security hole that publishes the full source code name to the caller. If these scripts are published on the internet before they are debugged by the programmer, the major search engines index them. These indexed ASP pages can be then located with a simple search. The search results publish the full path and file name for the ASP scripts. This URL can be viewed in a browser and may reveal full source code with details of business logic, database location and structure.

Mer info, med tillvägagångssätt, finns i Bugtraq.

Är ju inte direkt någon bug det är frågan om i det här fallet, men säger väl ändå en del om MS säkerhetstänkande tycker jag.

------------------
Robban < robban@lipogram.com >

[Vide]

...och det säger nog att man inte skall lägga ut sidor som inte funkar på nätet, oavsätt om det är gjort med asp eller något annat... det är bra att MS ser till att man har fixat allt innan man slänger ut det...

------------------
MVH / Vide
Min hemsida:henslow.4sale.se/vide/

[Robban]

Citat:

det är bra att MS ser till att man har fixat allt innan man slänger ut det

Du har aldrig råkat ut för sidor som gett en "runtime error" trots att de varit färdiga? Har i.a.f. jag, t.o.m. på MS egna sidor. Det är lätt att göra fel vid uppgraderingar t.ex., och ett system som i sådana fall bestämmer sig för att spotta ut hela källkoden är definitivt inget bra system säkerhetsmässigt sett.

Tänk dig om motsvarande gällde vanliga program. Så fort en "bluescreen" kommer upp får användaren samtidigt tillgång till hela källkoden till programmet. Tror inte det skulle accepteras med avfärdandet "det är bra att MS ser till att man har fixat allt innan man slänger ut det".

Nu är jag i.o.f.s. själv förspråkare till "open source", men bara om programmeraren själv bestämt att det skall vara så - inte mot dennes vilja. Om inte annat finns risken att programmeraren invaggas i en falsk trygghet om att ingen kan se källkoden (och därmed frestas att inkludera hemliga uppgifter). Det här visar med tydlighet att man aldrig bör lita på det.

------------------
Robban < robban@lipogram.com >




[Redigerat av Robban den 12 feb 2000]

[Vide]

Självklart har jag råkat ut för runtime errors med en färdig sida... detta har oftast berott på serverns IIS... Självklart håller jag med dig i "Nu är jag i.o.f.s. själv förspråkare till "open source", men bara om programmeraren själv bestämt att det skall vara så ".

... även om det är förbluffande tråkigt att sådana här buggar förekommer, så måste jag poientera att man skall vara noga med hur man kodar så att det inte spelar någon roll hur mycket man än kollar på dokumentet...

------------------
MVH / Vide
Min hemsida:henslow.4sale.se/vide/