Avatar billede mc.lucifer Praktikant
06. marts 2002 - 23:05 Der er 7 kommentarer og
3 løsninger

Er det her det man betegner som et sikkerheds hul eller ej

Ja som overskriften spøger

-jeg er igang med at chekke vores firma web og blev i tvivl om det kunne betegnes som et sikkerheds hul

når man gør neden stående på andre sider for man You are nok autoriced to wieve this page men ikke hos os

www.pbj.dk = Normal
http://www.pbj.dk/content/ = mit sp

MC
Avatar billede grinderslev Praktikant
06. marts 2002 - 23:09 #1
Ja, det kan det nok betegnes som, da enhver jo kan læse kildekoderne uden vidre.
Avatar billede morpheus Nybegynder
06. marts 2002 - 23:09 #2
Jeg kan se begge domæner her fra... Eller ?
Avatar billede thomasledet Nybegynder
06. marts 2002 - 23:10 #3
jeg vil nok ikke kalde det et sikkerhedshul... der er ikke fri adgang til php-sourcekoden så eventuelle passwords osv er fortsat sikre (eller i hvert fald ikke berørte af netop dette "sikkerhedshul")...

men hvis jeg var jer ville jeg da overveje af slå Directory indexing fra...
Avatar billede thomasledet Nybegynder
06. marts 2002 - 23:10 #4
grinderslev> kildekoder? hvor?
Avatar billede thomasledet Nybegynder
06. marts 2002 - 23:11 #5
grinderslev> det eneste jeg kan se, er navn på nogle filer... og klikker man på en .php-fil skal der være lavet meget møg i konfigurationen, før den viser noget som helst kode...
Avatar billede Noone Nybegynder
06. marts 2002 - 23:12 #6
Eh... Filerne ender på .php og bliver parset af serveren... Så eventuel kode kan IKKE ses...
Avatar billede mc.lucifer Praktikant
06. marts 2002 - 23:15 #7
Ok takker mange gange det vil jeg meddele chefen i morgen

MC
Avatar billede grinderslev Praktikant
06. marts 2002 - 23:56 #8
Man kan jo downloade alt hvad der ligger på siden, og dermed også læse de koder som ligger i dokumenterne (er det ikke kilde koder)?
Skulle der ligge noget som er tiltænkt en speciel brugergruppe, og ikke skal være offentligt tilgængeligt, ja så er her en sikkerheds brist.
Avatar billede Noone Nybegynder
06. marts 2002 - 23:58 #9
Du kan KUN få HTML koder, og de bliver sendt alligevel.
Avatar billede osaka_san Nybegynder
07. marts 2002 - 07:53 #10
CHanoa> Jeg tror det Grinderslev mener er at selvom det kun er "HTML" så udgør directory browsing stadigvæk en sikkerhedsrisiko fordi det for det første gør det muligt at få en nem oversigt over sitets filer og dermed en eventuel mulighed for at finde sårbarheder som man ikke ville kunne se normalt. Et eksempel er test.php, som formodentlig ikke er tilgængelig officielt.

Det er måske ikke det vilde, men forestil dig at der lå et admin system der også. Så ville du pludselig have adgang til at se hvilke filer disse bestod af og måske rende rundt og parse forskellige parametrer til dem i håb om at komme uden om et eventuelt login system eller lign.

Altså ikke noget sikkerhedshul i sig selv, men 1 led i en kæde af muligheder for en eventuel misbruger.

En anden ting er at hvis de f.eks arbejder direkte på webserveren og uploader nogleting en dag som måske ikkeer færdig, så vil man nemt kunne finde frem til dem, hvilket ikke er specielt smart.

Med Venlig Hilsen
Oscar Eg Gensmann
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester