Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Lokales
Peinliche Panne bei MSN Deutschland
Veröffentlicht am 27.12.2003 13:46:38
MSN Deutschland bietet ab 12. Jänner auch DSL-Anschlüsse bei unseren Nachbarn an. Um den Kunden bereits jetzt eine Voranmeldung bieten zu können, wurde eine Anmeldeseite eingerichtet, die überraschenderweise unter PHP läuft. Und allem Anschein nach von jemandem, der von Sicherheit und PHP nicht viel Ahnung hat. Warum die Herrschaften von Microsoft nicht auf ihre eigene, so gepriesene Sprache ASP.NET sondern auf die Open Source Lösung PHP zurückgegriffen haben, bzw. die ASP-Endungen auf .php umbenannt haben, kann man zum jetzigen Zeitpunkt noch nicht sagen, aber zumindest ermöglicht die Konfiguration noch einige „witzige“ Effekte, wie man in diversen deutschen Linuxforen bereits nachlesen kann: Aber es lassen sich auch noch schlimmere Dinge anstellen. So kann man etwa die System.ini oder andere Systemdateien auslesen.
Damit zeigt sich schön, dass auch Open Source Produkte unsicher sein können, wenn man nicht weiß, wie man sie einsetzt und dass man die einem Skript übergebenen Werte IMMER auf ihre Gültigkeit überprüfen sollte.
Veröffentlicht am 27.12.2003 13:46:38
MSN Deutschland bietet ab 12. Jänner auch DSL-Anschlüsse bei unseren Nachbarn an. Um den Kunden bereits jetzt eine Voranmeldung bieten zu können, wurde eine Anmeldeseite eingerichtet, die überraschenderweise unter PHP läuft. Und allem Anschein nach von jemandem, der von Sicherheit und PHP nicht viel Ahnung hat. Warum die Herrschaften von Microsoft nicht auf ihre eigene, so gepriesene Sprache ASP.NET sondern auf die Open Source Lösung PHP zurückgegriffen haben, bzw. die ASP-Endungen auf .php umbenannt haben, kann man zum jetzigen Zeitpunkt noch nicht sagen, aber zumindest ermöglicht die Konfiguration noch einige „witzige“ Effekte, wie man in diversen deutschen Linuxforen bereits nachlesen kann: Aber es lassen sich auch noch schlimmere Dinge anstellen. So kann man etwa die System.ini oder andere Systemdateien auslesen.
Damit zeigt sich schön, dass auch Open Source Produkte unsicher sein können, wenn man nicht weiß, wie man sie einsetzt und dass man die einem Skript übergebenen Werte IMMER auf ihre Gültigkeit überprüfen sollte.
owned/0wned Beschreibt die Situation, wenn Deine Maschine durch einen Root Exploit gecracked wurde und der Angreifer mit der Maschine alles machen kann. Quelle: The Jargon File (Version 4.4.6) |
Martin Leyrer
« esa: Der Fluch des Mars · Peinliche Panne bei MSN Deutschland
· 20C3: Not A Number »