Bug sur un site fr (connu) qui laisse afficher le code de prog (asp ?)
en clair dans la page htlm (liens printscreen + dl dispo):
<% ' Module appel?ar : ' /film/fichefilm.html ' /film/anecdote.html Call
SetMaxAge("10800") ' *** D?nit le temps de cache. ATTENTION!! ne rien
?ire avant (on change les headers)no-store Dim modIsPagination
modIsPagination = false getQueryString "isPagination", modIsPagination if
C'est quel langage, que je l'évite à tout prix ...
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes
liens ici ?
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire
"Steph" a écrit dans le message de news:420658e9$0$522$
C'est quel langage, que je l'évite à tout prix ...
C'est de l'ASP (Active Server Page) , une sorte de derivé du Visual Basic.
mais c'est comme du php, çà tourne côté serveur, je ne comprends pas comment çà peut arriver car çà ne l'a fait qu'une seule fois
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes liens ici ?
Contacter le webmaster me semble être une bonne chose ......
C'est fait
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Fabien LE LEZ
On 07 Feb 2005 09:54:40 GMT, Francois :
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes liens ici ?
Contacter le webmaster me semble être une bonne chose ......
Ça peut être très dangereux de contacter directement le responsable d'un site, car il peut t'accuser d'avoir piraté son site (ça s'est vu). Tu as deux solutions : - tu la fermes - tu contactes un intermédiaire qui garantira que ton nom reste secret
-- ;-)
On 07 Feb 2005 09:54:40 GMT, Francois <no@spam.com>:
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes
liens ici ?
Contacter le webmaster me semble être une bonne chose ......
Ça peut être très dangereux de contacter directement le responsable
d'un site, car il peut t'accuser d'avoir piraté son site (ça s'est
vu). Tu as deux solutions :
- tu la fermes
- tu contactes un intermédiaire qui garantira que ton nom reste
secret
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes liens ici ?
Contacter le webmaster me semble être une bonne chose ......
Ça peut être très dangereux de contacter directement le responsable d'un site, car il peut t'accuser d'avoir piraté son site (ça s'est vu). Tu as deux solutions : - tu la fermes - tu contactes un intermédiaire qui garantira que ton nom reste secret
-- ;-)
Nicob
On Mon, 07 Feb 2005 16:35:17 +0000, Steph wrote:
mais c'est comme du php, çà tourne côté serveur
C'est bel et bien de l'ASP (cf. le tag d'ouverture et le 'Dim').
je ne comprends pas comment çà peut arriver car çà ne l'a fait qu'une seule fois
Une désactivation du lien 'page *.asp' -> 'moteur ASP' ?
Nicob
On Mon, 07 Feb 2005 16:35:17 +0000, Steph wrote:
mais c'est comme du php, çà tourne côté serveur
C'est bel et bien de l'ASP (cf. le tag d'ouverture et le 'Dim').
je ne comprends pas comment çà peut arriver car çà ne l'a fait
qu'une seule fois
Une désactivation du lien 'page *.asp' -> 'moteur ASP' ?
C'est bel et bien de l'ASP (cf. le tag d'ouverture et le 'Dim').
je ne comprends pas comment çà peut arriver car çà ne l'a fait qu'une seule fois
Une désactivation du lien 'page *.asp' -> 'moteur ASP' ?
Nicob
Steph
Le 07/02/2005 17:35, Fabien LE LEZ écrivait :
On 07 Feb 2005 09:54:40 GMT, Francois :
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes liens ici ?
Contacter le webmaster me semble être une bonne chose ......
Ça peut être très dangereux de contacter directement le responsable d'un site, car il peut t'accuser d'avoir piraté son site (ça s'est vu). Tu as deux solutions : - tu la fermes - tu contactes un intermédiaire qui garantira que ton nom reste secret
J'ai pensé à çà oui mais bon... le Webmaster m'a répondu qu'ils avaient en effet des problèmes sur leur serveur depuis vendredi. N'empêche... que le code s'affiche, j'en reste bouche bée... grosse faille de sécu, pourtant j'étais sûr que quoi qu'il arrive, un script serveur ne pouvait pas s'afficher sur le navigateur.
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Le 07/02/2005 17:35, Fabien LE LEZ écrivait :
On 07 Feb 2005 09:54:40 GMT, Francois <no@spam.com>:
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes
liens ici ?
Contacter le webmaster me semble être une bonne chose ......
Ça peut être très dangereux de contacter directement le responsable
d'un site, car il peut t'accuser d'avoir piraté son site (ça s'est
vu). Tu as deux solutions :
- tu la fermes
- tu contactes un intermédiaire qui garantira que ton nom reste
secret
J'ai pensé à çà oui mais bon... le Webmaster m'a répondu qu'ils avaient
en effet des problèmes sur leur serveur depuis vendredi.
N'empêche... que le code s'affiche, j'en reste bouche bée... grosse
faille de sécu, pourtant j'étais sûr que quoi qu'il arrive, un script
serveur ne pouvait pas s'afficher sur le navigateur.
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire
Que faut-il faire ? Avertir le CERT et le Webmaster avant de donner mes liens ici ?
Contacter le webmaster me semble être une bonne chose ......
Ça peut être très dangereux de contacter directement le responsable d'un site, car il peut t'accuser d'avoir piraté son site (ça s'est vu). Tu as deux solutions : - tu la fermes - tu contactes un intermédiaire qui garantira que ton nom reste secret
J'ai pensé à çà oui mais bon... le Webmaster m'a répondu qu'ils avaient en effet des problèmes sur leur serveur depuis vendredi. N'empêche... que le code s'affiche, j'en reste bouche bée... grosse faille de sécu, pourtant j'étais sûr que quoi qu'il arrive, un script serveur ne pouvait pas s'afficher sur le navigateur.
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Nicob
On Mon, 07 Feb 2005 22:18:19 +0000, Steph wrote:
grosse faille de sécu
Pas forcément, ça dépend de ce qu'il y a dans le code source. C'est sûr que si tu as le login/passwd de la base de données, c'est pas bon.
pourtant j'étais sûr que quoi qu'il arrive, un script serveur ne pouvait pas s'afficher sur le navigateur.
Tout dépend de la config côté serveur (et des bugs d'implémentation).
Nicob
On Mon, 07 Feb 2005 22:18:19 +0000, Steph wrote:
grosse faille de sécu
Pas forcément, ça dépend de ce qu'il y a dans le code source. C'est sûr
que si tu as le login/passwd de la base de données, c'est pas bon.
pourtant j'étais sûr que quoi qu'il arrive, un script
serveur ne pouvait pas s'afficher sur le navigateur.
Tout dépend de la config côté serveur (et des bugs d'implémentation).
Pas forcément, ça dépend de ce qu'il y a dans le code source. C'est sûr que si tu as le login/passwd de la base de données, c'est pas bon.
pourtant j'étais sûr que quoi qu'il arrive, un script serveur ne pouvait pas s'afficher sur le navigateur.
Tout dépend de la config côté serveur (et des bugs d'implémentation).
Nicob
Fabien LE LEZ
On 07 Feb 2005 22:18:19 GMT, Steph :
pourtant j'étais sûr que quoi qu'il arrive, un script serveur ne pouvait pas s'afficher sur le navigateur.
Ben si : il suffit que l'extension "asp" ne soit plus considérée comme spéciale. Il est même possible que ne plus autoriser les scripts à s'exécuter, ce qui semble augmenter la sécurité à première vue, permette ça. NB : je parle ici de IIS, bien sûr, puisqu'il s'agit d'ASP.
-- ;-)
On 07 Feb 2005 22:18:19 GMT, Steph
<steph@lavillerose.com.adressebidon.invalid>:
pourtant j'étais sûr que quoi qu'il arrive, un script
serveur ne pouvait pas s'afficher sur le navigateur.
Ben si : il suffit que l'extension "asp" ne soit plus considérée comme
spéciale.
Il est même possible que ne plus autoriser les scripts à s'exécuter,
ce qui semble augmenter la sécurité à première vue, permette ça.
NB : je parle ici de IIS, bien sûr, puisqu'il s'agit d'ASP.
pourtant j'étais sûr que quoi qu'il arrive, un script serveur ne pouvait pas s'afficher sur le navigateur.
Ben si : il suffit que l'extension "asp" ne soit plus considérée comme spéciale. Il est même possible que ne plus autoriser les scripts à s'exécuter, ce qui semble augmenter la sécurité à première vue, permette ça. NB : je parle ici de IIS, bien sûr, puisqu'il s'agit d'ASP.
