Hvordan sikrer jeg imod brug af parent paths ?

parent paths i iis'en sørger for at du ikke kan tilgå mapper "over" din root (f.eks. c:\windows\system32\

Men det er jo også det du skriver, men hvis har mappet en mappe som virtual dir. kan det lade sig gøre....

Der VAR også en fejl i iis (4 eller 5) der gjorde at man kunne gøre det (jeg går udfar at din windows er lovlig og patched)

;o)

;o)

Hej a1,

Tak for dit svar,

Min Windows er lovlig og 2003 web server.

Mit home dir er x:\folderA\folderB\www
Hvor jeg i IIS'en via Options har fjernet markering til "Enable parent paths"

"www" svarer til "mitsite.dk" dvs jeg kan åbentbart i URL'en gå tilbage til folderB.

Hvad skal jeg ellers gøre for at få det til at virke?

Det burde således være IIS 6.0 ?

ja det er 6.0, jeg kan ikke gøre det på min server, har lige testet..

http://www.;o).dk/../dbs/databasefil.mdb bliver "redirected" til
http://www.;o).dk/dbs/databasefil.mdb og iisen siger "The page cannot be found"

btw, jeg kører sbs 2003

Hvad er SBS?

Jeg kører 2003 Web Server.

Det mystiske er:

Skriver jeg:
http://mitsite.dk/../lydfil.mp3
Så fjerner den ".." og siker not found.

men placerer jeg selvsamme fil i en af de 3 nedenstående eksempler, så bliver filen hentet:
http://mitsite.dk/../folder1/folder2/folder3/lydfil.mp3
http://mitsite.dk/../../folder1/folder2/folder3/lydfil.mp3
http://mitsite.dk/../../../folder1/folder2/folder3/lydfil.mp3

Det er altså som om at hvis bare man lægger en folder under, så virker det stadig, selv om parnet paths er slået fra!

Har du eller nogen nogle ideer?
Jeg er villig til at give flere points, hvis mulig..

Meget gerne et eksempel der virker! :)

HMM HMM HMM.. MEGA MYSTISK.. her nogle timer senere, så SER det ud til at virke!??

Sig mig, skal der lissom gå en rum tid FØR det slår igennem??

Jeg har ikke ændret en disse...
Det eneste jeg har gjort er at "gå ind og se" på security fanebladet på de enkelte foldere, for blot at konstatere at rettighedrne var sat præcist ens på alle folderne, hvorefter jeg konstaterede at det så ikke kunne være det!
Jeg ændrede ingen værdier!

Nu opfører ALLE folderne sig ens, altså dvs. de siger nu alle "file not found" efter at den automatisk fjerne de ".." man har indsat i URL'en!

SBS er small business server (win2k server, exchange  og evt. sql server og isa (firrewal) (den store pakke)).

Kan det være "bare" fordi du ikke har genstaret efter diverse opdateringer (eller genstaret iisen (cmd iisreset))

ok,

Ja, jeg havde ikke genstartet - det står der heller ikke at man skal gøre.

Men det er måske (alligevel normalt) nødvendigt?

Hmm.. nu virkede
http://mitsite.dk/../folder1/folder2/folder3/lydfil.mp3
igen ikke som den skulle - den røg lige igennem!

Nu har jeg genstartet serveren - det hjælper ikke!

Det var da noget meget mærkværdigt noget! Det er jo slet ikke sikkert det skidt!

Parent paths ER slået fra og jeg HAR genstartet!

Any ideas?

Måske har det noget med brugerrettigheder at gøre?

Er det muligt vha brugerrettigheder på folderniveau kun at give rettigheder til en mp3 fil via et ASP program, men ikke via direkte link i URL?

Altså

Dette må man ikke: mitsite.dk/lydfil.mp3
Dette må man godt: mitsite.dk/streamMinLydfil.asp

Jeg har forsøgt at lægge mp3 filen udenfor www sitets root og slået parent paths fra, men det virker ikke! Man kan aligevel hente filen!

Så mine tanker går på, kan man sætte rettigheder på på biblioteket, således at brugere/klienter IKKE kan få direkte tilgang til filen, men at den kun kan hentes via et ASP program?

Jeg har pt. 5 forskellige brugere på Security fanen på biblioteket.
1) Administrators,
2) Creator owner,
3) minbruger
4) System,
5) Users

Måske har det noget med dette at gøre?

Kan det styres med brugere og hvordan?

Eller rettere:

Dette må man ikke: mitsite.dk/../lydfil.mp3
Dette må man godt: mitsite.dk/streamMinLydfil.asp

parent paths er relateret til scripts, som bliver afviklet på serveren. Uanset opsætningen (med mindre du bruger en ældgammel iis med denne bug), så skal du ikke kunne tilgå filer uden for root.

Så hvis din opsætning ellers er korrekt, så forstår jeg ikke det du oplever.

hej Locke,

Jeg har Windows 2003 web server. Og jeg har læst mig til at den skulle køre IIS 6.
Kan du bekræfte dette? Og er dette at betegne som en ældgammel IIS?