Avatar billede loopstudio Nybegynder
19. december 2008 - 17:08 Der er 15 kommentarer

Hvordan sikrer jeg imod brug af parent paths ?

Jeg har lydfiler liggende udenfor www root og jeg har fjernet brug af "parent paths" i IIS'en, så hvorfor kan det stadig lade sig gøre at skrive flg. i URL'en og få lydfilen downloadet?

http://mitsite.dk/../folder1/folder2/folder3/lydfil.mp3

Det kan da ikke være rigtigt at man ikke kan beskytte imod brug af ".." i URL'en?

Så kan man jo hvis man er på et webhotel få adgang til alle andre domæners websites filer!
Avatar billede a1a1 Novice
19. december 2008 - 21:32 #1
parent paths i iis'en sørger for at du ikke kan tilgå mapper "over" din root (f.eks. c:\windows\system32\

Men det er jo også det du skriver, men hvis har mappet en mappe som virtual dir. kan det lade sig gøre....

Der VAR også en fejl i iis (4 eller 5) der gjorde at man kunne gøre det (jeg går udfar at din windows er lovlig og patched)

;o)

;o)
Avatar billede loopstudio Nybegynder
19. december 2008 - 23:08 #2
Hej a1,

Tak for dit svar,

Min Windows er lovlig og 2003 web server.

Mit home dir er x:\folderA\folderB\www
Hvor jeg i IIS'en via Options har fjernet markering til "Enable parent paths"

"www" svarer til "mitsite.dk" dvs jeg kan åbentbart i URL'en gå tilbage til folderB.

Hvad skal jeg ellers gøre for at få det til at virke?
Avatar billede loopstudio Nybegynder
19. december 2008 - 23:31 #3
Det burde således være IIS 6.0 ?
Avatar billede a1a1 Novice
20. december 2008 - 00:10 #4
ja det er 6.0, jeg kan ikke gøre det på min server, har lige testet..

http://www.;o).dk/../dbs/databasefil.mdb bliver "redirected" til
http://www.;o).dk/dbs/databasefil.mdb og iisen siger "The page cannot be found"
Avatar billede a1a1 Novice
20. december 2008 - 00:13 #5
btw, jeg kører sbs 2003
Avatar billede loopstudio Nybegynder
20. december 2008 - 01:04 #6
Hvad er SBS?

Jeg kører 2003 Web Server.

Det mystiske er:

Skriver jeg:
http://mitsite.dk/../lydfil.mp3
Så fjerner den ".." og siker not found.

men placerer jeg selvsamme fil i en af de 3 nedenstående eksempler, så bliver filen hentet:
http://mitsite.dk/../folder1/folder2/folder3/lydfil.mp3
http://mitsite.dk/../../folder1/folder2/folder3/lydfil.mp3
http://mitsite.dk/../../../folder1/folder2/folder3/lydfil.mp3

Det er altså som om at hvis bare man lægger en folder under, så virker det stadig, selv om parnet paths er slået fra!

Har du eller nogen nogle ideer?
Jeg er villig til at give flere points, hvis mulig..

Meget gerne et eksempel der virker! :)
Avatar billede loopstudio Nybegynder
20. december 2008 - 01:58 #7
HMM HMM HMM.. MEGA MYSTISK.. her nogle timer senere, så SER det ud til at virke!??

Sig mig, skal der lissom gå en rum tid FØR det slår igennem??

Jeg har ikke ændret en disse...
Det eneste jeg har gjort er at "gå ind og se" på security fanebladet på de enkelte foldere, for blot at konstatere at rettighedrne var sat præcist ens på alle folderne, hvorefter jeg konstaterede at det så ikke kunne være det!
Jeg ændrede ingen værdier!

Nu opfører ALLE folderne sig ens, altså dvs. de siger nu alle "file not found" efter at den automatisk fjerne de ".." man har indsat i URL'en!
Avatar billede a1a1 Novice
20. december 2008 - 05:27 #8
SBS er small business server (win2k server, exchange  og evt. sql server og isa (firrewal) (den store pakke)).

Kan det være "bare" fordi du ikke har genstaret efter diverse opdateringer (eller genstaret iisen (cmd iisreset))
Avatar billede loopstudio Nybegynder
20. december 2008 - 20:51 #9
ok,

Ja, jeg havde ikke genstartet - det står der heller ikke at man skal gøre.

Men det er måske (alligevel normalt) nødvendigt?
Avatar billede loopstudio Nybegynder
20. december 2008 - 21:03 #10
Hmm.. nu virkede
http://mitsite.dk/../folder1/folder2/folder3/lydfil.mp3
igen ikke som den skulle - den røg lige igennem!
Avatar billede loopstudio Nybegynder
20. december 2008 - 21:06 #11
Nu har jeg genstartet serveren - det hjælper ikke!

Det var da noget meget mærkværdigt noget! Det er jo slet ikke sikkert det skidt!

Parent paths ER slået fra og jeg HAR genstartet!

Any ideas?
Avatar billede loopstudio Nybegynder
20. december 2008 - 21:34 #12
Måske har det noget med brugerrettigheder at gøre?

Er det muligt vha brugerrettigheder på folderniveau kun at give rettigheder til en mp3 fil via et ASP program, men ikke via direkte link i URL?

Altså

Dette må man ikke: mitsite.dk/lydfil.mp3
Dette må man godt: mitsite.dk/streamMinLydfil.asp

Jeg har forsøgt at lægge mp3 filen udenfor www sitets root og slået parent paths fra, men det virker ikke! Man kan aligevel hente filen!

Så mine tanker går på, kan man sætte rettigheder på på biblioteket, således at brugere/klienter IKKE kan få direkte tilgang til filen, men at den kun kan hentes via et ASP program?

Jeg har pt. 5 forskellige brugere på Security fanen på biblioteket.
1) Administrators,
2) Creator owner,
3) minbruger
4) System,
5) Users

Måske har det noget med dette at gøre?

Kan det styres med brugere og hvordan?
Avatar billede loopstudio Nybegynder
20. december 2008 - 21:36 #13
Eller rettere:

Dette må man ikke: mitsite.dk/../lydfil.mp3
Dette må man godt: mitsite.dk/streamMinLydfil.asp
Avatar billede locke Nybegynder
21. december 2008 - 13:24 #14
parent paths er relateret til scripts, som bliver afviklet på serveren. Uanset opsætningen (med mindre du bruger en ældgammel iis med denne bug), så skal du ikke kunne tilgå filer uden for root.

Så hvis din opsætning ellers er korrekt, så forstår jeg ikke det du oplever.
Avatar billede loopstudio Nybegynder
21. december 2008 - 13:45 #15
hej Locke,

Jeg har Windows 2003 web server. Og jeg har læst mig til at den skulle køre IIS 6.
Kan du bekræfte dette? Og er dette at betegne som en ældgammel IIS?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester