also wir setzen kein Online-Edit ein.... Das ich Scripte schreiben kann, die nach �bergabe eines Pfades/Dateiname deren Inhalt pr�sentieren ist mir klar. Dazu mu� man aber eben erst mal diese Scripte auf den Server bekommen und bei uns liegt nichts rum, was da nicht hingeh�rt
Gr��e Steffen Email: mailto:[EMAIL PROTECTED] "Ivan Karl Bischof" <[EMAIL PROTECTED]> 24.07.2002 17:11 Please respond to "AspGerman Kaffeehaus" To "AspGerman Kaffeehaus" <[EMAIL PROTECTED]> cc bcc Subject [aspdecoffeehouse] AW: Sicherheitsproblem Hallo Steffen, // //Uns hat jemand Ausschnitte (keine Fakes) aus dem Sourcecode //einer unserer //ASP-Anwendungen (genauer: aus einer Include-Datei mit .asp Endung) //gesendet und behauptet es g�be eklatante //Sicherheitsprobleme. Wenn er die //Sourcen wirklich von unserem (oder Kundenserver) Server haben //sollte, w�re //dem wohl so. (wie er an die Daten gekommen ist bleibt im //Dunkeln, der //Mensch m�chte sich verkaufen). // es ist durchaus m�glich den Source zu lesen. Egal ob ASP, PHP usw. Ich habe da was vorbereitet. Kopiere die Seite auf den Server. Browsereingabe: http://meinServer/zeigeMirDeinenSource.asp?file=denNamenDerSeite.xxx es geht auch http://meinServer/zeigeMirDeinenSource.asp?file=../Ordner/ordner/Seite.xxx �bergreifendes lesen (auslesen der Files aus einem anderem Virt. Verzeichnis) des Sourcecodes funktioniert nur, wenn auf dem Webserver die Rechte nicht richtig gesetzt sind. Das so glaube ich, ist auch Dir (euch) passiert. Ich habe mit OnlineEdit experimentiert (wurde schon im Post vom Hoffmann Thorsten erw�hnt) habe dann unseren Webserver so konfiguriert das OnlineEdit auch nicht mehr funktioniert. Falls Du Interesse hast, Sende mir eine Mail und Du bekommst den Verschl�sselten Source. Gr��e I.K.Bischof | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
