Sikkerhed i FileSystemObjectet

.

der er ingen ordenlig sikkerhed ved brug af FSO

Det vil sige at ved at lave en simpel asp rutine kan man slette en server hvor man har adgang til IIS og asp.dll? Det lyder meget besynderligt?

På din webserver har du en user, som hedder IUSER_COMPUTERNAVN. Denne user er umiddelbart den user, som en anonymous-user vil blive \'optaget\' som. Jeg mener uden at være 100% sikker, at hvis du tilføjer denne user på en hvilken som helst folder, og giver ham \'ingen adgang\', så kan FileSystem objektet heller ikke hverken skrive, rette, slette eller lign.

/Janus

Konklusion: Din webudbyders sikkerhed er ikke i orden.

Det er korrekt at såfremt man direkte angiver at IUSER_XXX accounten skal noaccess til filen, så kan FSO objektet heller ikke udføre nogen handlinger på filen. Men som udgangspunkt er IUSER_XXX ikke sat nogen steder med noaccess; Skal den så tilføjes alle drev? Det tvivler jeg stærkt på at alle udbydere tænker på; jeg har prøvet det to steder med held (har sendt en mail til begge, hvor jeg gør dem opmærksom på problemet.)
januskkh > Hvis der ikke er nogen der har en bedre forklaring så for du point.

Der er ikke nogen sikkerhed ved SFO

Jeg har lavet et script der lavede en liste over filer og biblioteker på den server hvor mit webhotel lå.

det gav mig adgang til HELE serveren og alle filer...

scriptet kunne vise mig asp filer, og log filer fra betalingssytemer og meget mere.

Da jeg gjorde min udbyder opmærksom på dette, sagde de at de var klar over hullet, men ville ikke deaktivere fso, da det jo er muligt at nogen bruger det, og deres agument var at der jo nok ikke var mange der kunne/ville lave et script a la mit.

Mvh Kenneth Nielsen

dr-kermit >> Jo, men det modstrider jo heller ikke det, som jeg har sagt. Hvis din webudbyder ikke har tilføjet user IUSR_MACHINENAME til at have ingen adgang, så er det jo klart at du kan gøre det lille \'hacker\'-stunt. I et sådant tilfælde vil dine user-rettigheder, så komme fra den user, som hedder \"Everyone\" og den har sikkert, både læse og redigerings-rettigheder.

SFO lægger sig op ad de almindelig regler for NT security, som kan være sat mere eller mindre intelligent op. ;)

/JanusKH

Tak alle sammen