Publicado en Kamborio.com.
La versión 5 del servidor web de Microsoft® "Internet Information Services" (IIS) apareció el 17 de Febrero de 2000 cuando fue lanzado al mercado Windows 2000. Incluía numerosas mejoras sobre la versión anterior, una cantidad increíble de nuevos "bugs" y dos nuevos "métodos" que están facilitando el trabajo a multitud de programadores, pero que les pueden dar mas de un quebradero de cabeza.
Los nuevos métodos son parte de el objeto ASP Server: Execute y Transfer. Estos dos nuevos métodos permiten la ejecución de una página web en el propio servidor o la transferencia de una página web a otra manteniendo el estado de los objetos entre páginas.
El propio software que controla mi página web y que ha sido programado por mi, hace uso extensivo del metodo Server.Execute debido a su similitud con los "Server Side Includes". La principal diferencia es la posibilidad de usar variables cuando se usa Server.Execute para espeficar el archivo a ejecutar, opción no disponible cuando se usa un "Server Side Include".
En los últimos meses he podido comprobar que multitud de sitios web estan haciendo uso de este nuevo método de forma incorrecta, lo que puede conducir a comprometer la seguridad del servidor. Es facil detectar los sitios que hacen uso de este método gracias a las URLs, muchos de ellas son como la que sigue:
http://servidor/inicio.asp?file=/asp/home.asp
El problema por el que se ven afectados es la posibilidad de escalar directorios usando URLs modificadas como:
http://servidor/inicio.asp?file=../../WINNT/win.ini
Esto nos permite acceder con permisos de lectura a muchos de los archivos del servidor.
Un segundo problema es una posible denegación de servicio si se solicita el mismo archivo que hace la llamada al Server.Execute:
http://servidor/inicio.asp?file=inicio.asp
Esto provocaría que el script ASP entrara en un bucle infinito que le llevaría a usar el 100% de la CPU y grandes cantidades de memoria mientras el script no hiciera "time out", generalmente a los 90 segundos de haberse iniciado la petición.
Las posibles soluciones pasan por verificar que el archivo que se pasa al método Execute no contienen cadenas como "../" o desabilitar las "rutas padre" en la configuración del propio servidor IIS.
Últimos comentarios
Últimos 5 comentarios
COMO ENLAZAR UNA BASE DE DATOS DE ACCESS A ASP UTILIZANDO COMO EDITOR DREAMWEAVER (23/10/2007)
Por
LO REALIZO DESDE PANEL DE CONTROL SELECCIONO FUENTES DE DATOS ODBC AGREGAR EL DNS EL NOMBRE DE LA BASE DE DATOS Y EL PATH DEL ARCHIVO Y AL CORRERLO EN LOCALHOST NO ME VISUALIZA LA BASE DE DATOS.... COMO LE PUEDO HACER ????AYUDA PORFIS!!!!!
como puedo montar 2 sitios web en un solo servidor iis (17/07/2007)
Por
hola a todos como puedo montar 2 o mas sitios web en un solo servidor iis de antemano se los agradesco
Server.EXECUTE (27/03/2007)
Por
Como puedo hacer para usar el Metodo Server.Execute, si por ejemplo la pagina q quiero ejecutar es pagina1.asp?title=PAGINA1&tabla=master
Error de Instalacion de IIS (16/11/2006)
Por
Disculpen amigos mi pregunta es por el motivo de que cuando instalo el IIS e incerto el cd de Win xp me marca un error y no puedo instalarlo y ya e checado con varios discos por lo tanto no es el disco de XP me gustaria que me proporcionaran algun tipo de ayuda con eso. sin nada mas que decir gracias
conversion de cantidad en dolares a texto (16/10/2006)
Por
deseo saber el codigo fuente utlizando ASP.NET para convertir una cantidad en dolares a texto, ejm.
$336.75 a
TRESCIENTOS TREINTA Y SEIS 75/100 DOLARES AMERICANOS
Artículos
