Accueil   |   Forums   |  Offres d'emplois   |  Contact    |   Mon compte   
vendredi 16 mai 2008 Rechercher :
Déposez votre CV gratuitement sur touslesemplois
 
comparer les prix
» Logiciels
» Jeux vidéos
» Matériel Informatique

» ASP.NET
» ASP
» SQL
» PHP
» JAVASCRIPT
» XML
 


» ACTUALITÉ / DIVERS
» DROIT DE L'INTERNET
» INFOS VIRUS
» PATCHS MICROSOFT
» SÉCURITÉ
» BASES DE DONNÉES
» DOWNLOAD .NET
» LOGITHÈQUE
» SERVICES WEB
» Y SONT FOUS !
» .NET
» ASP
» ASP.NET
» JAVA
» PHP
» XML
» LANGAGE C#
» LANGAGE VB.NET
» UNIX / LINUX
» WINDOWS
» EVÈNEMENTS
» GASP
» MICROSOFT
 


Vous êtes ici : Articles ASP > BUGS CONNUS

Problème de sécurité lié à Index Server
Problème de sécurité, lié à l'utilisation de IIS 4 ou 5 avec Index Server. Sous certaines conditions, il est possible de visualiser le contenu intégral de vos fichiers ASP et ASA.


ABONNEZ-VOUS GRATUITEMENT A LA REVUE DE PRESSE "LES Z'ACTUS" ET RECEVEZ CHAQUE JOUR DANS VOTRE BOITE AUX LETTRES LA MEILLEURE INFORMATION DEDIEE AUX WEBMASTERS / DEVELOPPEURS.

Indiquez votre adresse E-mail :
Technologie : Index Server 
Date : 17/05/2006   
Auteur : Cerberus Security

Causes

La cause essentielle de ce bug provient de l'utilisation de fichiers htw par Index Server et IIS. Et notamment le fichier null.htw, n'ayant pas d'existence réelle mais uniquement virtuelle, peut tracer et visualiser n'importe quel fichier sur votre serveur.

Effets

Si un utilisateur tape dans l'url de son navigateur le code suivant : http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp&CiRestriction=none&CiHiliteType=Full , rien de particulier ne se passera sinon qu'il pourra visualiser le contenu HTML de la page, par contre  s'il rajoute %20 après default.asp il pourra peut être visualiser l'intégralité des sources :
url entrée :
http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full

Résolution

1/ Si votre serveur réagit comme indiqué (en remplacant www.monsite.com par l'url de base de votre site) et affiche le code source de n'importe quel page : vous devez télécharger les patch fournis par Microsoft pour Index Server 2.0 et Index Server pour Windows 2000 à l'url suivante.
http://www.microsoft.com/technet/security/bulletin/ms00-006.asp

2/ Si vous n'utilisez pas les fonctionnalités Index Server, vous pouvez toujours supprimer l'extension htw des filtres ISAPI installés : ce qui a pour effet de règler ce bug définitivement :

Ouvrez la console d'IIS, allez sur les propriétés du site. Activez l'onglet <Répertoire de Base> puis cliquer sur le bouton <configuration>, dans l'onglet <Mappage de l'application> supprimez la référence faîte à .htw (...webhits.dll).
Puis Appliquer les modifications.

3/ Alternative à la suppression de l'extension htw :

Posté par M. Serge K. SEGBEFIA
J'ai trouvé, avec un ami, une solution annexe au problème concernant le bug sur Index Server et IIS. Voilà: au lieu de supprimer définitivement l'extension htw des filtres ISAPI, on a cocher l'option "Vérifier l'existence du fichier pour ce filtre" et pour l'instant ça a l'air de fonctionner puisque les sources du site ne sont plus accessibles "grâce" à cette petite imperfection.

Essayez et vous m'en direz des nouvelles!!! Evidemment, si ça ne marche pas chez vous, faites le moi savoir afin de pousser plus loin la recherche!!!

Vous avez une autre solution ou un commentaire à faire sur les solutions décrites : webmaster@asp-magazine.com


ASP Serveur - L'hébergement ASP.NET


A RETENIR CETTE SEMAINE
16/05/2008 - Logiciels Microsoft gratuits pour les étudiants
 Vous êtes étudiant ? N’attendez pas pour télécharger* gratuitement et utiliser les derniers logiciel ...
16/05/2008 - Lillois, ne manquez pas les Wygdays 2008
 Le 22 mai prochain à Lille, vous êtes invité à un événement unique dédié aux développeurs, organisé ...
16/05/2008 - Flash 10 est dans les bacs, Silverlight prend du retard
 On est peut-être à un tournant très important de la bataille que se livrent Microsoft et Adobe sur l ...
15/05/2008 - Comment manipuler simplement le contenu d'un fichier WordML ?
 Le format WordML (et plus largement OpenXML ) est une grande avancée: il permet de manipuler les doc ...
15/05/2008 - Package d'installation réseau de Windows XP Service Pack 3 pour les informaticiens
 Ce package d'installation est destiné à permettre aux informaticiens et aux développeurs de configur ...
15/05/2008 - Mono supporte désormais Windows Forms et Silverlight
 Jour de gloire pour le projet Mono. Miguel de Icaza annonce tout d'abord sur son blog la première re ...
14/05/2008 - Deux Services Packs en bêta pour Visual Studio
 Microsoft annonce deux Services Packs en version bêta pour Visual Studio 2008 et pour le framework . ...
(c) 1999-2006 ASP MAGAZINE SARL
Partenaires : Codes sources c2i ASP-PHP
Hébergement serveurs dédiés Windows


Hit-Parade