Log In
Home
February 24, 2004
Offline
Tjena
Finns det något program som gör att man kan gå in på en hemsida
och stjäla programkod som sidan är skriven av?
Eller om man kan ladda ner en hel sida med bilder, kod o allt
så man sen kan öppna och ändra hemsidan?
Skulle villja hitta något sådant för att testa säkerheten på en ganska viktig hemsida.
June 30, 2001
Offline
Nej, asp är ett server side-scriptspråk, vilket innebär att sidan genereras på servern innan den skickas till användaren. Alltså kan man inte se någon asp-kod från webbläsare (eller något program).
Skulle det vara möjligt att se koden från webbläsaren så skulle de flesta siter ha stora säkerhetsproblem, eftersom lösenord och dylikt ofta ligger i filer som är går att komma åt från nätet. Som NH:s config.php till exempel.
February 1, 2003
Offline
Men om du har tur så kanske du kan hitta någon felskriven asp/php sida som kanske läser innehållet från en fil och skriver ut till html ... om du då kan få denna sida att öppna någon vital fil så kan du läsa informationen.
Detta kräver först att du hittar någon sida med säkerhetshål, samt att du ska veta vilken sida du vill läsa från ... men inget är omöjligt...
May 1, 2004
Offline
mounte wrote: Men om du har tur så kanske du kan hitta någon felskriven asp/php sida som kanske läser innehållet från en fil och skriver ut till html ... om du då kan få denna sida att öppna någon vital fil så kan du läsa informationen.
Detta kräver först att du hittar någon sida med säkerhetshål, samt att du ska veta vilken sida du vill läsa från ... men inget är omöjligt...
långsökt...
July 14, 2003
Offline
IIS'en vägrar att släppa ifrån sig filer med extensionen .asp, alltså kommer alltid .asp sidor att parsas av IIS'en och däremd kommer du alltid att få ett html resultat när du försöker få filen via webservern.
Däremot så kan du, om du ligger på samma webhotell som den sida du ska sno, samt att webhotellet har varit lite dumma (vilket förekommer) så kan du skapa ett filobjekt och "filsurfa" in till den andra sitens mappar och överföra deras asp-filer till din egen mapp. men som sagt...herregud vilken overkill!!
March 14, 2001
Offline
Är ju de som använder databaser för att hantera användare och lösenord och det finns de som inte har fixa så man inte kan ladda hem databasen, så vet man vad den heter är det bara ladda hem den som en vanlig fil..
July 14, 2003
Offline
Snorch wrote: Är ju de som använder databaser för att hantera användare och lösenord och det finns de som inte har fixa så man inte kan ladda hem databasen, så vet man vad den heter är det bara ladda hem den som en vanlig fil..
Ja, om följande saker stämmer:
1) Det är en Access-databas
2) filnamnet är känt
3) IIS'en är satt att släppa igenom filer med ändelsen .mdb
...lycka till! 😛
March 14, 2001
Offline
desdecado wrote: [quote=Snorch]Är ju de som använder databaser för att hantera användare och lösenord och det finns de som inte har fixa så man inte kan ladda hem databasen, så vet man vad den heter är det bara ladda hem den som en vanlig fil..
Ja, om följande saker stämmer:
1) Det är en Access-databas
2) filnamnet är känt
3) IIS'en är satt att släppa igenom filer med ändelsen .mdb
...lycka till! 😛
Ja inte många som är så kass på att fixa säkertheten men det förekommer..
Sen är ju IISen satt till att just göra det som default-inställningar..
July 14, 2003
Offline
Snorch wrote: [quote=desdecado][quote=Snorch]Är ju de som använder databaser för att hantera användare och lösenord och det finns de som inte har fixa så man inte kan ladda hem databasen, så vet man vad den heter är det bara ladda hem den som en vanlig fil..
Ja, om följande saker stämmer:
1) Det är en Access-databas
2) filnamnet är känt
3) IIS'en är satt att släppa igenom filer med ändelsen .mdb
...lycka till! 😛
Ja inte många som är så kass på att fixa säkertheten men det förekommer..
Sen är ju IISen satt till att just göra det som default-inställningar..
I senaste IIS'en måste man sätta vad som ska tillåtas, dvs helt tvärtom. Kanske är en del av den filosofi som W2003server har att allt ska vara disable'at från början.
March 14, 2001
Offline
desdecado wrote: [quote=Snorch][quote=desdecado][quote=Snorch]Är ju de som använder databaser för att hantera användare och lösenord och det finns de som inte har fixa så man inte kan ladda hem databasen, så vet man vad den heter är det bara ladda hem den som en vanlig fil..
Ja, om följande saker stämmer:
1) Det är en Access-databas
2) filnamnet är känt
3) IIS'en är satt att släppa igenom filer med ändelsen .mdb
...lycka till! 😛
Ja inte många som är så kass på att fixa säkertheten men det förekommer..
Sen är ju IISen satt till att just göra det som default-inställningar..
I senaste IIS'en måste man sätta vad som ska tillåtas, dvs helt tvärtom. Kanske är en del av den filosofi som W2003server har att allt ska vara disable'at från början.
Ja det har du nog rätt i, syftade mest på IIS5 jag.. och är nog rätt smart av microsoft att disable:a allt från början..
1 Guest(s)
