Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: usss2000.nl

Erik E gaf mij de tip eens te kijken naar zijn bevindingen bij het aanpassen van een simpele sitemanager gemaakt in Microsoft's Active Server Pages. Hiermee is het mogelijk de directorystructuur van de server waarop de pagina is gehost te bekijken (behalve de root, dus de standaard Windows-directory's uitproberen is wel handig ) en bestanden te bekijken.

Zelf heb ik de bevindingen gecontroleerd en ik kan inderdaad bevestigen dat deze mogelijkheden aanwezig zijn bij 2 gratis ASP-providers. De andere hosters die Erik heeft getest heb ik niet nagelopen, maar ik vertrouw zijn resultaat. Zijn eigen provider heeft inmiddels een oplossing gevonden en de gratis hosters die dit probleem hadden zijn op de hoogte gesteld. Het probleem zit in de rechten van de standaard Internetgebruiker (wordt gebruikt door Internet Information Server) in combinatie met het uploadobject van Microsoft. De gebruikte sitemanager is Anyportal:

Na het uploaden van het script werkt hij perfect: uploaden, deleten en wijzigen gingen zonder problemen op onze website. Na wat denk- en sloopwerk in de code had ik de pagina opnieuw geupload.

Na het inloggen op de pagina kreeg ik een foutmelding plus een link. Na het klikken op de link kwam ik tot mijn verbazing in de root van de server en trof mappen zoals winnt, program files etc. aan.

[...] Na het aanmaken van accounts bij www.atfreeweb.com en na het uploaden van het ASP-bestand konden wij ook zonder problemen pagina's aanpassen van andere gebruikes. Ook hadden wij hier de volledige rechten. Niet alleen bij atfreeweb is dit het geval maar bij 20 andere hostingproviders waar wij dit hebben getest is dit lek aangetroffen.

Zie hieronder een screenshot van de Sitemanager in actie: (voor de veiligheid van de provider zijn is de link hier en daar gecensureerd)

Screenshot ASP bug

Een grotere versie is hier te vinden. (Vanwege een probleem met de image-upload komen de plaatjes vanaf mijn eigen server)

Moderatie-faq Wijzig weergave

Reacties (44)

Jongens, nog nooit van het file system object gehoord? Deze tool, die bij mij allang bekend is, maakt alleen maar gebruik van een file system object, waarmee je dus dir's kunt bekijken.

de isp moet je wel rechten geven om iets te verwijderen, anders werkt het niet.

de isp moet ook het juiste upload protocol ondersteunen.

Stemmingmaken kunnen we allemaal, maar kom nu eens met een echte bug... dit is gewoon een toepassing in asp, niets meer en niets minder....

tweakers, ik had toch wel verwacht dat jullie niet aan deze stemmingmakerij mee zouden doen....
Hehe, eindelijk iemand die het snapt...

Er zijn ASP objecten om netjes met NT permissies om te gaan. Dit is dus gewoon een kwestie van een slecht geschreven script.
Hmm, volgens mij ligt dit niet aan het script, maar aan de dingen die de 'webuser' blijkbaar mag doen op die NT bak.

De beheerder van die machine moet gewoon de user manager eens starten en de nodige permissies weghalen bij de user accounts die IIS gebruikt. Kijk voor meer informatie ook maar eens bij MS zelf op http://www.microsoft.com/technet/security/iischk.asp Dit is een complete checklist die je door kunt lopen.
Het zal wel aan mij liggen, maar om met een script alles op de NT bak te kunnen doen lijkt me niet de bedoeling. Zeker niet als je op een virtual server werkt.
Damn er worden de laatste tijd wel erg vl fouten bij website-servers gevonden. Maar dat deze gast er geen misbruik van maakt vind ik wel een goeie zaak.

De betreffende sites zullen zich wel erg schamen :+
first post en dan nog?
Je weet helemaal niet of die gast er misbruik van heeft gemaakt. Het feit dat 'ie het hier post, zegt helemaal niets.
Een tijdje terug heb ik zoiets in de nieuwsqueue gezet maar dan met een nogal flinke configuratiefout bij de vuurwerkservers... Die stonden ongeveer vanaf het begin helemaal open (tot serverroot aan toe) kon je alles zo weghalen. Maar raar genoeg heeft dat nooit de frontpage van tweakers gehaald. Wellicht ook omdat t.net natuurlijk bij Vuurwerk draait....
elk OS heeft zo zijn security holes, dat valt niet te vermijden... Hoe meer mensen een OS gebruiken hoe groter de kans is dat er bugs gevonden worden die opgelost kunnen worden... Gelukkig is MS wat actiever geworden met het dichten van dit soort gaten... Check http://www.securityfocus.com maar eens, dan schrik je van hoeveel "gaten" er zijn... Positief is wel dat er veel van die gaten al opgelost zijn...
elk OS heeft zo zijn security holes, dat valt niet te vermijden...
Nee, maar je kan ze wel tellen en vergelijken. Een hole waar je ongezien met een vrachtwagen naar binnen kan rijden en van alles mee naar buiten kan nemen is iets anders dan een hole waar je een dun draadje door naar binnen kan sturen waardoor je binnen dingen kan zien.
Maar dit probleem was geloof ik meer een configuratiefout, en niet perse een fout van het OS. Hoewel je het misschien "fout" kan noemen, als de default configuratie de poorten wijd open zet.
Hoe meer mensen een OS gebruiken hoe groter de kans is dat er bugs gevonden worden die opgelost kunnen worden...
.. en hoe meer mensen fouten in dat OS zullen willen uitbuiten, omdat je er meer mee computers mee bereikt. Dit betekent dus niet, dat een OS er zeker veiliger van wordt!
Gelukkig is MS wat actiever geworden met het dichten van dit soort gaten...
Dat is toch wel de minste service die je mag verwachten, als je voor zo'n product betaalt! Maar ja, een bedrijf als MS heeft de eerste verantwoordelijkheid tegenover de aandeelhouders. Als die meer winst zien als MS snel gaten dicht, zal MS snel gaten dichten. Als MS meer winst maakt door te beloven het in een volgende versie op te lossen, wordt het in een volgende versie opgelost. |-(
En je bent van MS afhankelijk, want om nou in de binaries te gaan zitten hacken.
Het gaat hier niet om het OS, maar om IIS, dus het schort hier aan de beveiliging binnen IIS.
Je moet hier onderscheid tussen maken, want het OS is niet direkt benaderbaar vanuit Internet je laat er geen gebruikers op inloggen, (voor zover dat mogelijk is), maar IIS staat wel open voor de wereld, dus daar moet je wel extra maatregelen treffen!

(typo's eruit gehaald)
Nee IIS is niet verrot maar sommige providers vinden het kennelijk te veel moeite om goede permissies te zetten, IIS is zowiezo een minder geschikt OS voor shared hosting.
ISS een operating system ? dh
Shared Hosting ? Wazzdattanweer ?

ik vind dit soort potings op zijn zagst gezegd niet echt verhelderend.

Internet Information Server is een , jawel... SERVER. Voor de mensen die denken dat een server een computer is met raidschijven en dikke backupsystemen, waar andere mensen hun data neergooien en programma's van mogen draaien: Helaas, het begrip heeft meerdere toepassingen. Een server is OOK een stukje software die een bepaalde "SERVICE" verleent.

Een Operating System is dat stukje software dat er voor zorgt dat alle onderdeeltjes van een computer met elkaar kunnen samenwerken en elkaar ook een beetje beter begrijpen.

Zo zitten de lekker verwarrdende OPERATING SYSTEM windows NT "server", Windows 2000 "Server" Vol met kleine software servertjes. DHCP servers, Password verification servers, Mailservers, Internet servers, FTP servers, en ga zo nog maar even door.

De kast waar NT server o.i.d. op draait heet soms "FTP server" omdat die dan niets anders doet dan alleen een FTP server draaien. Maar dan staat er nog altijd een OS op.

Als je dus praat over lekken in de software is het makkelijk om een goed onderscheid te maken tussen Operating System en Server. En die ZEER zeker niet te verwarren, ookal zijn ze beiden van de zelfde bakker.
Lol sorry tis nog vroeg ;)
Ik bedoelde uiteraard webserver, shared hosting is dus het delen van een server met meerder mensen.

Overigens is shared hosting echt een volkomen duidelijk begrip lijkt me, het wordt ook gewoon zo genoemd door betreffende hostingbedrijven
Even voor de duidelijkheid: dit is geen bug in IIS, geen bug in ASP.
De bug zit in the SA-FileUp objectwaarvan siteman.asp gebruik maakt.
Zie http://www.softartisans.com/softartisans/saf.html
Noem het een "plug-in" voor IIS.
Bij de meeste IIS server wordt deze "plug-in" niet gebruikt en zijn dus niet kwetsbaar....
SA is niet de enige hoor !

Het IloveU virus maakt ook gebruikt van een filesystem object.. 1 tje die standaard in de vb "engine" (of hoe je het ook moet noemen) zit. En die kan je dus ook met ASP (gezien het VB is) gebruiken..

Dit is trouwens wel een mooi voorbeeld van "This is not a bug! It's a feature!!"
Dit is geen Bug maar gewoon een slechte configuratie van de Provider, dit probleem is trouwens al heel heel oud, kijk maar eens op http://www.planet-source-code.com/xq/ASP/txtCodeId.6 121/lngWId.4/qx/vb/scripts/ShowCode.htm
Ik denk dat dei jongens het heel netjes hebben gedaan door het gelijk naar buiten te brengen.
Daar draait het allemaal om.
Dat er weer een foutje is gevonden laat alleen maar zien dat de ontwikkelaars veel te snel een product op de markt willen gooien.
Concurrentie is niet altijd alles blijkt maar weer.
Er staat nergens dat het een bug is.

Het is gewoon onoplettendheid van providers en een gebrek aan kennis. Heel veel van dit soort instellingen zijn gewoon bekend en zijn (meestal) makkelijk aan te passen door wat registry settings te weizigen.(of zelfs in IIS zelf) Op de m$ knowledge base staat heel erg veel over security en IIS.

Dat er slimme programmeurs zijn die de Programmatuur beter kennen dan de providers betekend niet dat m$ niet genoeg nadenkt over zijn software. (hoewel dit soms wel het geval is :P)

Oke het staat in de titel dat het een bug is maar toch ;)
NTFS, service & registry permissions, daar draait deze fout om. Niet zozeer een OS of service, maar een domme beheerder die niet weet wat hij of zij doet.
Yepp, default staat dat Everyone Full Control heeft overal.. tja als je dat niet aanpast dan is het je eigen fout en mag je die beheerder ook geen beheerder noemen..
zo zijn ze misschien ook wel achter het adres van de politie edit gekomen. dit is trouwens best makkelijk. als je weer eens op zo'n onoverzichtelijke site komt kun je zo sneller zoeken wat je zoekt.
Als je nu de link volgt staat er onder andere..
Niet alleen bij atfreeweb is dit het geval maar bij 20 andere hostingproviders waar wij dit hebben getest hebben wij dit lek aan getroffen. Alle providers zijn op de hoogte gesteld van dit lek.
( http://www.hopla.nl/eep/news/view.asp?id=52 )

Niet zo gunstig voor het, nu nog, gevoelige ASP-concept.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True