Halihallo Hakuna

könnt ihr mir sagen, wie gefährlich ist es für einen Forum-Betreiber, wenn der Quelltext (JSP) seiner Seiten versehntlich (Zugriff auf falsche URL) im Klartext im Browser dargestellt wird?

Es ist sehr gefährlich.

Was kann hier höchstens passieren, wenn sowie so keine Parameter in der URL übergeben werden, die man im Quelltext finden könnte.

Höchstens? - z.B. ein Serverpasswort das bekanntlich im plain/text
im Source-Code zu stehen pflegt. Ggf. einige Internas, die jeder,
der Böses will, ausnutzen kann um die Seite auch nach Beseitigung
dieses dummen Fehlers anzugreifen (in jedwelcher Form). Natürlich
inkludiert letzteres einen Fehler in der Programmierung selber.

Es geht nicht um mein Forum und ich verstehe wenig von JSP. Es ist tatsächlich allgemeine Sicherheitsfrage.

Derartige Fehler sind nach bestem Wissen und Gewissen 100%-ig zu
verhindern, denn die Folgen können (müssen nicht) wirklich verherend
sein.

Es kann aber auch gar nix passieren. Aber davon darf man natürlich
nicht ausgehen, sonst stellt sich die Frage nach Sicherheit erst
gar nicht.

Szenario:
Ein etwas ungeschickter Programmierer hat für root und
Datenbankzugriff dasselbe Passwort, welches dummerweise in genau der
angezeigten .jsp Seite im plain/text einsehbar ist. Dazu ein Super-
Script-Kiddie, der natürlich gleich über SSH auf den Server zugreift
und sein neu erhaschtes Passwort ausprobiert und sogar Erfolg damit
hat. Aus purem Zerstörungswahn löscht er die gesamte Datenbank und
alle Dateien und erzählt seinen Kameraden von seiner neulichen
Hackattacke.

Überzeugt?

Viele Grüsse

Philipp