nicht angemeldet
JSP-Quelltext im Browser
Hallo liebe Forumer,
könnt ihr mir sagen, wie gefährlich ist es für einen Forum-Betreiber, wenn der Quelltext (JSP) seiner Seiten versehntlich (Zugriff auf falsche URL) im Klartext im Browser dargestellt wird? Was kann hier höchstens passieren, wenn sowie so keine Parameter in der URL übergeben werden, die man im Quelltext finden könnte.
Es geht nicht um mein Forum und ich verstehe wenig von JSP. Es ist tatsächlich allgemeine Sicherheitsfrage.
Vielen Dank und ciao.
-
Halihallo Hakuna
könnt ihr mir sagen, wie gefährlich ist es für einen Forum-Betreiber, wenn der Quelltext (JSP) seiner Seiten versehntlich (Zugriff auf falsche URL) im Klartext im Browser dargestellt wird?
Es ist sehr gefährlich.
Was kann hier höchstens passieren, wenn sowie so keine Parameter in der URL übergeben werden, die man im Quelltext finden könnte.
Höchstens? - z.B. ein Serverpasswort das bekanntlich im plain/text
im Source-Code zu stehen pflegt. Ggf. einige Internas, die jeder,
der Böses will, ausnutzen kann um die Seite auch nach Beseitigung
dieses dummen Fehlers anzugreifen (in jedwelcher Form). Natürlich
inkludiert letzteres einen Fehler in der Programmierung selber.Es geht nicht um mein Forum und ich verstehe wenig von JSP. Es ist tatsächlich allgemeine Sicherheitsfrage.
Derartige Fehler sind nach bestem Wissen und Gewissen 100%-ig zu
verhindern, denn die Folgen können (müssen nicht) wirklich verherend
sein.Es kann aber auch gar nix passieren. Aber davon darf man natürlich
nicht ausgehen, sonst stellt sich die Frage nach Sicherheit erst
gar nicht.Szenario:
Ein etwas ungeschickter Programmierer hat für root und
Datenbankzugriff dasselbe Passwort, welches dummerweise in genau der
angezeigten .jsp Seite im plain/text einsehbar ist. Dazu ein Super-
Script-Kiddie, der natürlich gleich über SSH auf den Server zugreift
und sein neu erhaschtes Passwort ausprobiert und sogar Erfolg damit
hat. Aus purem Zerstörungswahn löscht er die gesamte Datenbank und
alle Dateien und erzählt seinen Kameraden von seiner neulichen
Hackattacke.Überzeugt?
Viele Grüsse
Philipp
-
Danke Phillip für Deine ausführliche Antwort.
Ich versuche mich gerade durch den Quelltext durchzukämpfen, um die Passwörter oder Ähnliches zu finden, bis jetzt finde ich aber nichts Interessantes.
Ich suche nach eine lüstige Variante, dem lieben Menschen die Augen zu öffnen. Logischerweise ohne Datenverlust oder Schaden. Vielleicht kurz die Kontrolle über den Forum übernehmen? Du hast mich da auf paar Ideen gebracht. :))
ciao
H.M.-
Halihallo Hakuna
Ich versuche mich gerade durch den Quelltext durchzukämpfen, um die Passwörter oder Ähnliches zu finden, bis jetzt finde ich aber nichts Interessantes.
Das hoffe ich.
Ich suche nach eine lüstige Variante, dem lieben Menschen die Augen zu öffnen.
Das geht auch über ein ganz normales E-Mail mit entsprechendem
Hinweis.Logischerweise ohne Datenverlust oder Schaden. Vielleicht kurz die Kontrolle über den Forum übernehmen? Du hast mich da auf paar Ideen gebracht. :))
Ich halte es für eine absolute Frechheit meine Äusserungen für
derartige Zwecke einzusetzen. Dein Vorhaben ist weder legal noch
moralisch vertretbar. Unterlasse es!Viele Grüsse
Philipp
-
Lieber Phillip,
Ich suche nach eine lüstige Variante, dem lieben Menschen die Augen zu öffnen.
Das geht auch über ein ganz normales E-Mail mit entsprechendem
Hinweis.Ist schon passiert, das hat er nicht ernst genommen. Seit zwei Wochen weiß er das und hat nichts dagegen unternommen.
Ich halte es für eine absolute Frechheit meine Äusserungen für
derartige Zwecke einzusetzen. Dein Vorhaben ist weder legal noch
moralisch vertretbar. Unterlasse es!Bitte nehme es nicht persönlich! Ich denke mir, dass es besser ist, ihm einen Schrecken einzujägen, anstatt tatenlos darauf zu warten, dass jemand mit richtig bösen Ansichten seinen Fehler ausnutzt. Es ist, halt, meine Art ihm zu helfen.
ciao.
H.M.P.S. Lese mir mittlerweile JSP-Tutorial durch... Auch eine gute Tat für mich.
-
-
-