Ciao a tutti,
avendo una pagina del tipo www.miosito.it/pagina.asp ed essendo presente all'interno della pagina un response.redirect("../pagina2.asp"), è possibile accedere ad una pagina superiore alla "directory root" del sito?
Ve lo chiedo con urgenza perché sono in vacanza e forse il mio sito è a rischio sicurezza e io non posso intervenire.
Grazie.
beh! penso che mettendo il percorso fisico si dovrebbe riuscire credo fai una prova
lunga vita e prosperità
Assolutemente no.
ciao
Il guaio per i poveri computers e' che sono gli uomini a comandarli.
Attenzione ai titoli delle discussioni: (ri)leggete il regolamento
Consultate la discussione in rilievo: script / discussioni utili
Usate la funzione di Ricerca del Forum
Grazie br1, mi stai rassicurando.
Un'ultima precisazione: siccome il server in questione non è preso da un servizio di hosting, ma diciamo che è praticamente a casa di un "amico" in DMZ a IP fisso. Secondo te c'è qualche impostazione che può permettere di vedere tale pagina (nell'esempio pagina2.asp) se per esempio il server non è stato configurato correttamente?
Se mi chiarisci anche questo passo un week-end più sereno...
Se ci provo sul provider ricevo questo:
Forbidden (Invalid URL)
a casa invece vedo la pagina presente sulla root reale.
Non riesco ad immaginare come sia possibile ottenere un malfunzionamento... ma forse questo non e' il forum adatto, e' piu' un problema del forum Information Server
ciao
Il guaio per i poveri computers e' che sono gli uomini a comandarli.
Attenzione ai titoli delle discussioni: (ri)leggete il regolamento
Consultate la discussione in rilievo: script / discussioni utili
Usate la funzione di Ricerca del Forum
Scusa se continuo ulteriormente la discussione: in che senso a casa vedi la pagina sulla root reale?
Di norma non è possibile, ma se il server non è configurato correttamente a livello di permessi allora potresti navigare nell'intero filesystem semplicemente impostando a mano il percorso.
Il webserver serve pagine al di sotto della sua document root (www): se non sono state fatte porcherie di configurazione sicuramente quello detto NON è un problema, e, se lo fosse, non sarebbe un problema del codice.
Diverso è il caso di inclusioni dinamiche server-side.
E qui si potrebbe parlare per ore!
Scrivo solo perchè dissento lievemente da weppos, nel senso che non è un problema di permessi, ma di impostazioni della www.
I permessi c'entrano pure quelli, ma in modo diverso: anche se il webserver fosse istruito per leggere tutto / (o C:\ su winzozz), non potrebbe leggere alcun file sul quale l'utente con cui gira non abbia i permessi.
Giusto per puntualizzare.
mark2x,c redo che abbiamo detto la stessa cosa in due modi diversi.
Se io assegno privilegi a IUSR_MACHINE sull'intero HD C:\ e la home del web punta alla cartella C:\web\wwwroot, l'utente potrà leggere tranquillamente c:\folder se imposta l'URL manualmente via codice.
PS. A meno che tu non sia in grado di creare un sistema operativo migliore, suggerirei per rispetto di chiamare le cose con il loro nome: winzozz -> Windows.
Tra l'altro ho visto che digitando in un browser
www.miosito.it/cartella/../pagina.asp
è come digitare:
www.miosito.it/pagina.asp
Quindi direi che, come sottolineato da mark2x, non sarebbe un problema applicativo, ma sistemistico perché senza passare dall'applicazione potrei digitare direttamente sul browser:
www.miosito.it/../pagina2.asp
Permessi di invio
Rispondi quotando