j'ai reçu une application .NET que j'essaie d'évaluer en terme de sécu.
Cette appli fonctionne sous XP.
Quand je l'installe elle me crée un rep c:\qqchose. Dedans un fichier
'appli.net' qui doit être lancé pour démaré l'appli. Dans le même rep
j'ai qq dll, un rep wwwroot avec dedans d'autre rep contenant des .js ou
des .css.
Lorsque je lance l'appli le port 80 s'ouvre.
J'ai trouvé des failles de type "directory trasversal" ce qui me semble
assez énorme. (récup de la base sam en 2 minutes chronos).
Apparament IIS ne tourne pas et je n'ai pas de bannière IIS quand je
fais un telnet sur le port 80:
----------
$ telnet xxx 80
Trying xxx...
Connected to xxx.
Escape character is '^]'.
GET /titi HTTP/1.1
HTTP/1.1 404 Not Found
Content-Type: text/html
Content-Length: 147
<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>404 Not
Found</H1>The requested URL /titi was not found on this
server.<P></BODY></HTML>
Connection closed by foreign host.
-----------
Et je n'ai pas IIS dans mes services lancé (en fait il n'apparait même
pas dans la liste des serveurs dispos).
Donc est ce "normale" qu'un programme '.NET' fasse serveur HTTP ?
Comment fait on un serveur HTTP en .NET ? Il y a une biblio MCS qui fait
ça ? Dans ce cas ça signifierait que le prog a été linké avec une biblio
possédant des failles de sécu ?
Comment ose t on me livrer une appli aussi naze en terme de sécu ???
Le .NET était juste un argument marketing. C'est en fait un prog delphi compilé utilisant une biblio faisant serveur web.
Cdt.
Dominique Vaufreydaz
Bonjour,
Donc est ce "normale" qu'un programme '.NET' fasse serveur HTTP ?
Ben non.
Comment fait on un serveur HTTP en .NET ? Il y a une biblio MCS qui fait ça ?
BEn tu ouvre une socket en ecoute sur le port 80, tu parses ce qui t'arrive (des requetes HTTP au hasard) et tu reponds en consequence. Rien de bien difficile. J'ai des programme .c qui font ca tres bien.
Dans ce cas ça signifierait que le prog a été linké avec une biblio possédant des failles de sécu ?
Non, ca peut aussi vouloir dire que le mec qui a fait la partie Web a fait n'importe quoi !
Comment ose t on me livrer une appli aussi naze en terme de sécu ???
Voir ca avec le commercial qui te l'a vendu ou fait tester !
Doms. -- Impose ta chance, serre ton bonheur et va vers ton risque. A te regarder, ils s'habitueront. René Char, Les Matinaux. ---- http://Dominique.Vaufreydaz.free.fr/ http://TitchKaRa.free.fr/ http://logiciels.ntfaqfr.com/
Bonjour,
Donc est ce "normale" qu'un programme '.NET' fasse serveur HTTP ?
Ben non.
Comment fait on un serveur HTTP en .NET ? Il y a une biblio MCS qui
fait ça ?
BEn tu ouvre une socket en ecoute sur le port 80, tu parses
ce qui t'arrive (des requetes HTTP au hasard) et tu reponds
en consequence. Rien de bien difficile. J'ai des programme .c
qui font ca tres bien.
Dans ce cas ça signifierait que le prog a été linké avec
une biblio possédant des failles de sécu ?
Non, ca peut aussi vouloir dire que le mec qui a fait la partie Web a
fait n'importe
quoi !
Comment ose t on me livrer une appli aussi naze en terme de sécu ???
Voir ca avec le commercial qui te l'a vendu ou fait tester !
Doms.
--
Impose ta chance, serre ton bonheur et va vers ton risque.
A te regarder, ils s'habitueront.
René Char, Les Matinaux.
----
http://Dominique.Vaufreydaz.free.fr/
http://TitchKaRa.free.fr/
http://logiciels.ntfaqfr.com/
Donc est ce "normale" qu'un programme '.NET' fasse serveur HTTP ?
Ben non.
Comment fait on un serveur HTTP en .NET ? Il y a une biblio MCS qui fait ça ?
BEn tu ouvre une socket en ecoute sur le port 80, tu parses ce qui t'arrive (des requetes HTTP au hasard) et tu reponds en consequence. Rien de bien difficile. J'ai des programme .c qui font ca tres bien.
Dans ce cas ça signifierait que le prog a été linké avec une biblio possédant des failles de sécu ?
Non, ca peut aussi vouloir dire que le mec qui a fait la partie Web a fait n'importe quoi !
Comment ose t on me livrer une appli aussi naze en terme de sécu ???
Voir ca avec le commercial qui te l'a vendu ou fait tester !
Doms. -- Impose ta chance, serre ton bonheur et va vers ton risque. A te regarder, ils s'habitueront. René Char, Les Matinaux. ---- http://Dominique.Vaufreydaz.free.fr/ http://TitchKaRa.free.fr/ http://logiciels.ntfaqfr.com/
adebaene
Cedric Foll wrote in message news:<cip5gu$ftf$...
Donc est ce "normale" qu'un programme '.NET' fasse serveur HTTP ?
Aussi "normal" ou "anormal" qu'un programme écrit en C++, Java, Cobol ou Caml. Ce que fait le programme fonctionnellement n'a rien à voir avec la techno utilisée pour l'écrire.
Comment fait on un serveur HTTP en .NET ?
Comme on ferait en C++, Java, Cobol ou Caml. Si on une bibliothèque qui peut nous aider à faire cela simplement, tant mieux, sinon on gère le protocole HTTP soi-même sur une socket. C'est un exercice assez simple qu'on fait souvent en TP à l'école. Bien sûr, faire cela *correctement*, notamment vis-à-vis des problèmes de sécurité, c'est une autre paire de manches.
Comment ose t on me livrer une appli aussi naze en terme de sécu ???
Poses la question à l'auteur du soft en question. Ceci-dit, encore une fois, ca n'a rien à voir avec .NET en tant que tel.
Arnaud
Cedric Foll <cedric.foll@ac-rouen.fr> wrote in message news:<cip5gu$ftf$1@news.crihan.fr>...
Donc est ce "normale" qu'un programme '.NET' fasse serveur HTTP ?
Aussi "normal" ou "anormal" qu'un programme écrit en C++, Java, Cobol
ou Caml. Ce que fait le programme fonctionnellement n'a rien à voir
avec la techno utilisée pour l'écrire.
Comment fait on un serveur HTTP en .NET ?
Comme on ferait en C++, Java, Cobol ou Caml. Si on une bibliothèque
qui peut nous aider à faire cela simplement, tant mieux, sinon on gère
le protocole HTTP soi-même sur une socket. C'est un exercice assez
simple qu'on fait souvent en TP à l'école. Bien sûr, faire cela
*correctement*, notamment vis-à-vis des problèmes de sécurité, c'est
une autre paire de manches.
Comment ose t on me livrer une appli aussi naze en terme de sécu ???
Poses la question à l'auteur du soft en question. Ceci-dit, encore une
fois, ca n'a rien à voir avec .NET en tant que tel.
Donc est ce "normale" qu'un programme '.NET' fasse serveur HTTP ?
Aussi "normal" ou "anormal" qu'un programme écrit en C++, Java, Cobol ou Caml. Ce que fait le programme fonctionnellement n'a rien à voir avec la techno utilisée pour l'écrire.
Comment fait on un serveur HTTP en .NET ?
Comme on ferait en C++, Java, Cobol ou Caml. Si on une bibliothèque qui peut nous aider à faire cela simplement, tant mieux, sinon on gère le protocole HTTP soi-même sur une socket. C'est un exercice assez simple qu'on fait souvent en TP à l'école. Bien sûr, faire cela *correctement*, notamment vis-à-vis des problèmes de sécurité, c'est une autre paire de manches.
Comment ose t on me livrer une appli aussi naze en terme de sécu ???
Poses la question à l'auteur du soft en question. Ceci-dit, encore une fois, ca n'a rien à voir avec .NET en tant que tel.
