---

Hej

Kan man gå ind med et eller andet værktøj og høste alt hvad der ligger
på et websted, inclusive .asp (den rå kode),.inc, databaser, .js osv?

..asp filer bliver jo som bekendt behandlet af serveren inden de bliver
vist i browseren. Dermed kan brugeren normalt ikke se de scripts, og
kodeord, der køres på serveren.

Jeg har brugt nogen tid på at læse NG og kan se at det ofte tilrådes
at omdøbe .inc filer til .asp hvis de f.eks. indeholder kodeord. Men
jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang til
mapperne på webstedet - så er det vel blot et spørgsmål om at have et
værktøj der henter revl og krat - eller ???

mvh
Jørgen L Sørensen

---

"Jørgen L Sørensen" <neryt@email.com> wrote in message
news:9a671265.0204171157.7c0ef62@posting.google.com...
> Jeg har brugt nogen tid på at læse NG og kan se at det ofte tilrådes
> at omdøbe .inc filer til .asp hvis de f.eks. indeholder kodeord. Men
> jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang til
> mapperne på webstedet - så er det vel blot et spørgsmål om at have et
> værktøj der henter revl og krat - eller ???

Lad os sige at du har i din include fil følgende kode:

<%
' noget hemmeligt
%>

vil dette hvis du kalder din fil for .asp blive parset af ASP fortolkeren
FØR det bliver sendt tilbage til brugeren, ganske som en almindelig ASP fil
derfor vil ingen kunne se det hemmelige.

Et andet alternativ er at lægge include filerne udenfor den mappe der kan
tilgås udefra, man har oftest en mappe hvor alle dokumenter der skal
publiceres på web ligger, hvis man ligger sine include filer udenfor denne
mappe kan de ikke tilgås udefra overhovedet.

--
Jakob Andersen

---

Du kan jo lade det komme an på et forsøg. Prøv eksempelvis programmet
"Teleport Pro" som er et fantastisk værktøj til at hente alt indhold fra
et givent websted - og dermed lave en offline version af dette.

--
KONKURRENCE PÅ HTML.dk:
fortæl hvordan din drømmeeditor ser ud
og vind luksus webhoteller fra Wannafind
KLIK HER! => http://www.html.dk/editor

---

> Du kan jo lade det komme an på et forsøg. Prøv eksempelvis programmet
> "Teleport Pro" som er et fantastisk værktøj til at hente alt indhold fra
> et givent websted - og dermed lave en offline version af dette.

....som heller ikke kan aflure ASP-koden. Den vil alene hente det samme som
en tilfældig browser.


mvh
Kim Jensen

---

> Men jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang
> til mapperne på webstedet

Men kun gennem HTTP. Når webserveren får et HTTP request på en .asp fil,
så kan du være helt sikker på at den bliver fortolket først.

Men som Jakob foreslår, så er det en *meget* god ide at lægge includes
udenfor www-root. Derved kan Mallory under ingen omstændigheder få fat i
filen.

--
Jakob Møbjerg Nielsen
jakob@dataloger.dk
"Hey! He reminds me of someone who looks just like him. - Me"

---

Som folk så rigtig siger kan ASP koden ikke læses, heller ikke hvis du
henter et helt site ned.
Dog skal det siges at der findes op til flere bugs i IIS der tillader at se
asp koden, hvis ikke din server er opdateret.
Så sent som den 17-04-2002 blev der indrapporteret (Til
bugtraq@securityfocus.com ) et ny hul i CodeBrws.asp. Denne er ellers
forsøgt sikret tidliger, men de fik åbenbart ikke det hele med...
Problemet denne gang er at scriptet som installeres sammen med IIS, for at
vise indhold af sample asp siderne, ikke filtrere i Unicode tegn.
Derfor ville noget ligende:
/iissamples/sdk/asp/docs/CodeBrws.asp?Source=/IISSAMPLES/%c0%ae%c0%ae/defaul
t.asp
Være muligt :(
Sørg for at din IIS er opdateret og slå alle sites (inklusiv MS
/IISSamples ) du ikke bruger fra...Så skulle de fleste sider være sikret
(Indtil næste hul ).
Mvh
Janus

"Jørgen L Sørensen" <neryt@email.com> wrote in message
news:9a671265.0204171157.7c0ef62@posting.google.com...
> Jeg har brugt nogen tid på at læse NG og kan se at det ofte tilrådes
> at omdøbe .inc filer til .asp hvis de f.eks. indeholder kodeord. Men
> jeg er stadig ikke helt tryg ved det, for alle har jo læseadgang til
> mapperne på webstedet - så er det vel blot et spørgsmål om at have et
> værktøj der henter revl og krat - eller ???