IIS und Sicherheit

FordPrefect · 12.12.2005, 16:02

Hi Forianer,
wie sicher ist ein IIS Server auf dem ASP Scripte laufen und der auch noch auf übergeordnete Pfade zugreift.
Oder anders gefragt: Ist es einfach diese Seite zu hacken http://www.wenzl.at
lg Peter

abcxyz · 12.12.2005, 16:16

also ich denke mal so:
wie sicher kann ein system sein auf dem ne grafische oberfläche installiert ist und viele programme von haus aus wie der internetexplorer udgl. Mit jedem Programm und jedem Schnickschnack müsste sich ja die Unsicherheit erhöhen wegen Gefahr eines Programmierfehlers.
Aber du hast ja eher gefragt wegen asp und dem IIS. Da kenn ich mich nicht aus leider.

m@rio · 13.12.2005, 09:26

Zitat:

Original geschrieben von FellnerPeter
wie sicher ist ein IIS Server auf dem ASP Scripte laufen und der auch noch auf übergeordnete Pfade zugreift.

So sicher wie die Scripte die darauf laufen.

Im Regelfall wird nämlich nicht der Server selbst gehackt, sondern es werden Schwachstellen in den Scripten ausgenutzt. Das können z.b. ungeprüfte Usereingaben sein o.Ä.
Wenn es eine Lücke gibt, dann erlaubt der Zugriff auf übergeordnete Pfade dem Eindringling natürlich gleich noch mehr Schaden anzurichten.

BTW: Vielleicht solltest du noch den Title Tag der Seite ändern. da steht noch "Web Edition" drinnen.

FordPrefect · 13.12.2005, 12:14

1. Vielen Dank für den Hinweis.
2. Da ich das Script nicht selbst geschrieben habe und ich mich mit ASP so gut wie gar nicht auskenne kann ich das leider nicht sagen. Aber ich weiß über PHP Bescheid, und von da weiß ich, dass wenn man in Formulare Code reinschreibt und dieser nicht gespeert wird, dass man die Scripte aushebeln kann. Ist das bei ASP auch so möglich?
lg Peter

Sloter · 14.12.2005, 16:02

Crossscripting und Scriptinjection ist überall möglich.
Wenn der Code sauber ist, sollte diese Art von Attacke nicht möglich sein.

Sloter

FordPrefect · 15.12.2005, 09:10

Wie könnte ich so etwas testen?
lg Peter

JoergStueger · 15.12.2005, 11:31

Zitat:

Original geschrieben von FellnerPeter
Wie könnte ich so etwas testen?
lg Peter

Ich habs auf Deiner Seite mal kurz so

http://www.aspheute.com/artikel/20011030.htm

angetestet ... Das klappt auf jeden Fall NICHT ... obs noch weitere Möglichkeiten gibt weiss ich nicht, aber ich denke sooo einfach ist es nicht ...

LG
Joerg

12.12.2005, 16:02	#1
FordPrefect Veteran Registriert seit: 06.09.2002 Ort: Rottenmann Alter: 59 Beiträge: 425	IIS und Sicherheit Hi Forianer, wie sicher ist ein IIS Server auf dem ASP Scripte laufen und der auch noch auf übergeordnete Pfade zugreift. Oder anders gefragt: Ist es einfach diese Seite zu hacken http://www.wenzl.at lg Peter ____________________________________ Im Grunde will der Mensch nur eins: Spass haben, glücklich sein und die Zeit so fröhlich wie möglich miteinader zu verbringen. Dafür verzichtet er gerne auf alles andere. --------------------------------------- Unser Motto: Es ist noch kein Meister vom Himmel gefallen, dafür aber jede Menge Nieten Admiral James T. Kirk ---------------------------------------- Ich kommuniziere also mach ich mich verdächtig ----------------------------------------

12.12.2005, 16:16	#2
abcxyz Veteran Registriert seit: 18.04.2004 Beiträge: 372	also ich denke mal so: wie sicher kann ein system sein auf dem ne grafische oberfläche installiert ist und viele programme von haus aus wie der internetexplorer udgl. Mit jedem Programm und jedem Schnickschnack müsste sich ja die Unsicherheit erhöhen wegen Gefahr eines Programmierfehlers. Aber du hast ja eher gefragt wegen asp und dem IIS. Da kenn ich mich nicht aus leider. ____________________________________ Life is living ggg Lebt nicht das Leben, seid es!

13.12.2005, 12:14	#4
FordPrefect Veteran Registriert seit: 06.09.2002 Ort: Rottenmann Alter: 59 Beiträge: 425	1. Vielen Dank für den Hinweis. 2. Da ich das Script nicht selbst geschrieben habe und ich mich mit ASP so gut wie gar nicht auskenne kann ich das leider nicht sagen. Aber ich weiß über PHP Bescheid, und von da weiß ich, dass wenn man in Formulare Code reinschreibt und dieser nicht gespeert wird, dass man die Scripte aushebeln kann. Ist das bei ASP auch so möglich? lg Peter ____________________________________ Im Grunde will der Mensch nur eins: Spass haben, glücklich sein und die Zeit so fröhlich wie möglich miteinader zu verbringen. Dafür verzichtet er gerne auf alles andere. --------------------------------------- Unser Motto: Es ist noch kein Meister vom Himmel gefallen, dafür aber jede Menge Nieten Admiral James T. Kirk ---------------------------------------- Ich kommuniziere also mach ich mich verdächtig ----------------------------------------

15.12.2005, 09:10	#6
FordPrefect Veteran Registriert seit: 06.09.2002 Ort: Rottenmann Alter: 59 Beiträge: 425	Wie könnte ich so etwas testen? lg Peter ____________________________________ Im Grunde will der Mensch nur eins: Spass haben, glücklich sein und die Zeit so fröhlich wie möglich miteinader zu verbringen. Dafür verzichtet er gerne auf alles andere. --------------------------------------- Unser Motto: Es ist noch kein Meister vom Himmel gefallen, dafür aber jede Menge Nieten Admiral James T. Kirk ---------------------------------------- Ich kommuniziere also mach ich mich verdächtig ----------------------------------------

14.12.2005, 16:02	#5
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Crossscripting und Scriptinjection ist überall möglich. Wenn der Code sauber ist, sollte diese Art von Attacke nicht möglich sein. Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)