Accueil   |   Forums   |  Offres d'emplois   |  Contact    |   Mon compte   
dimanche 19 mai 2013 Rechercher :
Déposez votre CV gratuitement sur touslesemplois
 
comparer les prix
» Logiciels
» Jeux vidéos
» Matériel Informatique

» ASP.NET
» ASP
» SQL
» PHP
» JAVASCRIPT
» XML
 


» ACTUALITÉ / DIVERS
» DROIT DE L'INTERNET
» INFOS VIRUS
» PATCHS MICROSOFT
» SÉCURITÉ
» BASES DE DONNÉES
» DOWNLOAD .NET
» LOGITHÈQUE
» SERVICES WEB
» Y SONT FOUS !
» .NET
» ASP
» ASP.NET
» JAVA
» PHP
» XML
» LANGAGE C#
» LANGAGE VB.NET
» UNIX / LINUX
» WINDOWS
» EVÈNEMENTS
» GASP
» MICROSOFT
 


Vous êtes ici : Articles ASP > BUGS CONNUS

Problème de sécurité lié à Index Server
Problème de sécurité, lié à l'utilisation de IIS 4 ou 5 avec Index Server. Sous certaines conditions, il est possible de visualiser le contenu intégral de vos fichiers ASP et ASA.


ABONNEZ-VOUS GRATUITEMENT A LA REVUE DE PRESSE "LES Z'ACTUS" ET RECEVEZ CHAQUE JOUR DANS VOTRE BOITE AUX LETTRES LA MEILLEURE INFORMATION DEDIEE AUX WEBMASTERS / DEVELOPPEURS.

Indiquez votre adresse E-mail :
Technologie : Index Server 
Date : 17/05/2006   
Auteur : Cerberus Security

Causes

La cause essentielle de ce bug provient de l'utilisation de fichiers htw par Index Server et IIS. Et notamment le fichier null.htw, n'ayant pas d'existence réelle mais uniquement virtuelle, peut tracer et visualiser n'importe quel fichier sur votre serveur.

Effets

Si un utilisateur tape dans l'url de son navigateur le code suivant : http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp&CiRestriction=none&CiHiliteType=Full , rien de particulier ne se passera sinon qu'il pourra visualiser le contenu HTML de la page, par contre  s'il rajoute %20 après default.asp il pourra peut être visualiser l'intégralité des sources :
url entrée :
http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full

Résolution

1/ Si votre serveur réagit comme indiqué (en remplacant www.monsite.com par l'url de base de votre site) et affiche le code source de n'importe quel page : vous devez télécharger les patch fournis par Microsoft pour Index Server 2.0 et Index Server pour Windows 2000 à l'url suivante.
http://www.microsoft.com/technet/security/bulletin/ms00-006.asp

2/ Si vous n'utilisez pas les fonctionnalités Index Server, vous pouvez toujours supprimer l'extension htw des filtres ISAPI installés : ce qui a pour effet de règler ce bug définitivement :

Ouvrez la console d'IIS, allez sur les propriétés du site. Activez l'onglet <Répertoire de Base> puis cliquer sur le bouton <configuration>, dans l'onglet <Mappage de l'application> supprimez la référence faîte à .htw (...webhits.dll).
Puis Appliquer les modifications.

3/ Alternative à la suppression de l'extension htw :

Posté par M. Serge K. SEGBEFIA
J'ai trouvé, avec un ami, une solution annexe au problème concernant le bug sur Index Server et IIS. Voilà: au lieu de supprimer définitivement l'extension htw des filtres ISAPI, on a cocher l'option "Vérifier l'existence du fichier pour ce filtre" et pour l'instant ça a l'air de fonctionner puisque les sources du site ne sont plus accessibles "grâce" à cette petite imperfection.

Essayez et vous m'en direz des nouvelles!!! Evidemment, si ça ne marche pas chez vous, faites le moi savoir afin de pousser plus loin la recherche!!!

Vous avez une autre solution ou un commentaire à faire sur les solutions décrites : webmaster@asp-magazine.com


Project Hoshimi


A RETENIR CETTE SEMAINE
17/03/2011 - Plus que deux jours pour s'inscrire à la conférence Entity Framework
 Venez découvrir comment utiliser l'Entity Framework de façon optimale lors de la prochaine conférenc ...
16/03/2011 - Test Internet Explorer 9 : un navigateur en net progrès
 Internet Explorer 9 est une mise à jour radicale du navigateur de Microsoft. Réservé à Windows 7 et ...
16/03/2011 - SharePoint : Accéder à son Intranet SharePoint depuis un IPhone ou IPad via SSL VPN
 Lisez ce post de Fabrice Romelard dans lequel il explique comment accéder à SharePoint depuis les ma ...
15/03/2011 - Internet Explorer 9 à télécharger
 Après des mois de bêta publique, et une récente version RC (Release candidate), Microsoft a enfin ac ...
15/03/2011 - MSDN Magazine : Sélection des articles Azure en français
 Retrouvez notre sélection des meilleurs articles en français concernant la plateforme Windows Azure ...
15/03/2011 - Webcasts Azure des Microsoft TechDays 2011 - La sélection de ZeCloud
 Comme les webcasts des sessions des TechDays 2011 commencent à être disponibles, ZeCloud nous propos ...
14/03/2011 - SharePoint 2010 : Résolution d’un problème javascript avec ISA Server 2004 SP2
 Découvrez comment Julien Chable solutionne un bug Javascript rendant inutilisables la plupart des co ...
(c) 1999-2006 ASP MAGAZINE SARL
Partenaires : Codes sources c2i ASP-PHP
Hébergement serveurs dédiés Windows


Hit-Parade