Rannh: Sicherheit in ASP-Files

Grüss euch,

ich habe in ASP-Files sicherheitsbedenklichen Code und frage mich, ob das sicher ist. Es ist so, dass dieser Code im VB geschrieben ist, d.h. normalerweise sieht der User davon nix, falls er es sich im Browser ansieht, da das vom Server bearbeitet wird.

Kann es ein Pro schaffen, meine ASP-Seite vom Server herunterzuladen, ohne dass diese verarbeitet wird, falls ihr versteht was ich meine.

Ich schätze, das hat mit dem Zugriffsprotokoll oder sowas zu tun.

Danke im Voraus, mfg

  1. Kann es ein Pro schaffen, meine ASP-Seite vom Server herunterzuladen, ohne dass diese verarbeitet wird, falls ihr versteht was ich meine.

    Nein. Nur wenn der der Server grob falsch konfiguriert ist, z.B. wenn der FTP-Server auf die Verzeichnisse mit deinen ASP-Scripts verweist o.ä.

    Max

    1. Nein. Nur wenn der der Server grob falsch konfiguriert ist, z.B. wenn der FTP-Server auf die Verzeichnisse mit deinen ASP-Scripts verweist o.ä.

      Max

      D.h. es kann Probleme geben, falls auf die ASP-Sites per FTP zugegriffen werden kann. Dann frage ich mich, wie ich die Files denn remote uploaden soll????
      Ich hab dich glaub ich falsch verstanden

      1. D.h. es kann Probleme geben, falls auf die ASP-Sites per FTP zugegriffen werden kann. Dann frage ich mich, wie ich die Files denn remote uploaden soll????

        Solange nur du die Zugangsdaten kennst nicht. Was ich meine sind Anonyme FTP-Accounts. Viele Websites bieten ihre Downloads ja per (anonymen) FTP an - auch auf den Teamone-Server kann man anonym per FTP zugreifen (ftp://ftp.teamone.de/) - solche anonymen Accounts sind aber natürlich so konfiguriert das da keiner Unfug treiben kann.

        Max

  2. Halihallo Rannh

    ich habe in ASP-Files sicherheitsbedenklichen Code und frage mich, ob das sicher ist. Es ist so, dass dieser Code im VB geschrieben ist, d.h. normalerweise sieht der User davon nix, falls er es sich im Browser ansieht, da das vom Server bearbeitet wird.

    In Windows geht alles über Dateiextensionen. Der IIS ist normalerweise darauf
    konfiguriert, alle .asp Dateien über ASP laufen zu lassen (sprich Code ausführen).
    Es könnte höchstens sein, dass ein Verzeichnis explizit keine Scripte ausführt und somit
    deren Code sichtbar ist, oder man den selten dämlichen Vorschlag von M$ befolgt, seine
    Include-Scripte .inc zu taufen (denn diese, wenn sie auch meistens "versteckt" sind,
    _kann_ man meistens lesen).
    Wenn also das Script auf .asp lautet und sich in einem Verzeichnis befindet, wo ASP-
    Scripte ausgeführt werden, wird niemand (ausser Crack-Angriff) den Code sehen. Der
    Angreifer müsste auf den Server direkt zugreifen können und dann hast du wohl noch ganz
    andere Probleme, falls er dies kann.

    Kann es ein Pro schaffen, meine ASP-Seite vom Server herunterzuladen, ohne dass diese verarbeitet wird, falls ihr versteht was ich meine.

    Entweder du lieferst ihn explizit aus (Fehlkonfiguration) oder er müsste sich illegaler
    Mittel behelfen.

    Ich schätze, das hat mit dem Zugriffsprotokoll oder sowas zu tun.

    Nicht wirklich. Das Protokoll ist bei beiden HTTP. Wichtig ist allein, was der IIS mit
    der Extension .asp im fraglichen Verzeichnis macht.

    Viele Grüsse

    Philipp

    --
    RTFM! - Foren steigern das Aufkommen von Redundanz im Internet, danke für das lesen der Manuals.
    Selbstbedienung! - Das SelfForum ist ein Gratis-Restaurant mit Selbstbedienung, Menüangebot steht in den </faq/> und dem </archiv/>.