Bei einen sicheren Server gibt es nur verrat der Passwoerter :-) Aber durch den MS SQL 7, MySQL gibt es moeglichkeiten auf das os zuzugreifen aber auch nur durch wenn man die berechtigung dazu hat.
Anderes durch Scripting, zb eine download page mit ?xxxx.zip ind ein xxxx.asp umzuwandeln und dl ist je nach programmier weisse auch fuer schwachstellen offen. SQL injection ist dir sicherlich auch gelaeufig. Gruss Roman Pittroff Consulting Bangkok, Thailand >-----Original Message----- >From: Steffen Kangowski [mailto:[EMAIL PROTECTED]] >Sent: Wednesday, July 24, 2002 6:45 PM >To: AspGerman Kaffeehaus >Subject: [aspdecoffeehouse] RE: Sicherheitsproblem > > >Hallo Roman, > >> Die frage stellt sich erstmal wie weit dieser "Mensch" zugriff hat. >keine Ahnung. Wir kennen von dem Herren au�er seinen Namen nichts. >Konnten hier keine "echten" Spuren entdecken... > >Es laufen auf dem Server MS SQL 7, MySQL, IIS 4 mit asp-Anwendungen, >mehrer Domains, FTP anonymous nur lesen f�r ein Verzeichnis. >Ne Firewall >die das schlimmste (eigentlich) verhindern soll >Selbstverst�ndlich sind die Standard und die Admin-Website >des IIS tot >gelegt > >Gr��e > >Steffen > >"Roman Pittroff" <[EMAIL PROTECTED]> wrote on 24.07.2002 13:38:09: > >> Die frage stellt sich erstmal wie weit dieser "Mensch" zugriff hat. >> >> Gruss >> >> Roman Pittroff >> Consulting >> Bangkok, Thailand >> >> >-----Original Message----- >> >From: Steffen Kangowski [mailto:[EMAIL PROTECTED]] >> >Sent: Wednesday, July 24, 2002 6:32 PM >> >To: AspGerman Kaffeehaus >> >Subject: [aspdecoffeehouse] Sicherheitsproblem >> > >> > >> >Hallo, >> > >> >tja wie fang ich an... >> > >> >Uns hat jemand Ausschnitte (keine Fakes) aus dem Sourcecode >> >einer unserer >> >ASP-Anwendungen (genauer: aus einer Include-Datei mit .asp Endung) >> >gesendet und behauptet es g�be eklatante Sicherheitsprobleme. >> >Wenn er die >> >Sourcen wirklich von unserem (oder Kundenserver) Server haben >> >sollte, w�re >> >dem wohl so. (wie er an die Daten gekommen ist bleibt im >Dunkeln, der >> >Mensch m�chte sich verkaufen). >> > >> >Die Anwendung l�uft in der Regel unter Windows NT4 / IIS4 >/MS SQL 7.0 >> >Nun sind wir unserer Meinung nach mit den Udates up to date... >> >(Windows >> >Update ist auch dieser Meinung) >> >Aber man kann sich irren.. >> > >> >Welche M�glickiten seht Ihr an den Sourcecode zu gelangen? >> >Welche Konfigurationen w�rdet Ihr /sollten wir gr�ndlichst >�berpr�fen? >> >Wie konnte das gelingen? Ideen? >> > >> > >> >Danke schon mal im Voraus >> > >> >Steffen >> > >> >| [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed >> >| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = >Listenarchiv Sie >> >| k�nnen sich unter folgender URL an- und abmelden: >> >| >> >>>http://www.aspgerman.com/aspgerman/listen/anmel>den/aspdecoffeehouse. >> >as >> >| p >> > >> >> >> | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed >> | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = >Listenarchiv Sie >> | k�nnen sich unter folgender URL an- und abmelden: >> | >http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp > > >| [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed >| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv Sie >| k�nnen sich unter folgender URL an- und abmelden: >| >http://www.aspgerman.com/aspgerman/listen/anmel>den/aspdecoffeehouse.as >| p > | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
