Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4
  1. 28-07-2007, 09:32 #1
    Teo_h
    Teo_h non è in linea
    Utente di HTML.it
    Registrato dal
    May 2007
    Messaggi
    17

    sicurezza server.mappath

    In queste due settimane mi sto informando sulla sicurezza delle applicazioni ASP e sto vedendo che ci sono molte cose a cui non avevo pensato...
    Ho visto che un altro utente ha postato questa pagina: http://msdn2.microsoft.com/en-us/library/ms526079.aspx
    Ad un certo punto viene scritto:


    When working with files, canonicalize and verify all resource names such as file names, server names, user names, and so on.

    When creating files, use CreateFile with dwFlagsAndAttributes != 0, or call GetFileType after calling CreateFile to verify that a file is of the correct type (FILE_TYPE_DISK). In ISAPI applications, use the SCRIPT_TRANSLATED server variable to get a canonicalized filename from the URL.

    Canonicalization refers to the practice of converting resource names to a common format, for example, converting 8dot3 names and relative file paths to full physical paths before working with the path name.

    Malicious users can use 8dot3 representations of paths to gain access to files that they would otherwise be denied. They might also be able to force an application to create a different file type, such as a names pipe, mailslot, or other communication resource.


    Secondo voi l'uso di server.mappath è sicuro? Non è che in qualche modo può venire manipolato e, se per esempio lo uso per recuperare il percorso di un file e leggerlo, mi faccia leggere un file presente su un altro server o da qualche altra parte? Secondo voi inserire direttamente il percorso fisico del file sul server è più sicuro?
    Rispondi quotando Rispondi quotando
  2. 28-07-2007, 09:37 #2
    Mems
    Mems non è in linea
    Guest
    Registrato dal
    Jul 2002
    Messaggi
    7,854
    Ti faccio io una domanda? Sai cosa fa server.mapPath ?
    Rispondi quotando Rispondi quotando
  3. 28-07-2007, 10:26 #3
    Teo_h
    Teo_h non è in linea
    Utente di HTML.it
    Registrato dal
    May 2007
    Messaggi
    17
    Traduce il percorso virtuale in percorso fisico.

    Visto che ho dovuto rivedere alcune applicazioni per problemi di sicurezza ora sto valutando tutti gli aspetti per evitare altri problemi, perciò chiedo. Magari server.mappath si basa su qualche info che in qualche modo può venire alterata.

    Se il nome del file non è parametrico, secondo voi a livello di sicurezza c'è qualche precauzione da prendere nel leggerlo e scriverlo a video?
    Rispondi quotando Rispondi quotando
  4. 28-07-2007, 10:38 #4
    Mems
    Mems non è in linea
    Guest
    Registrato dal
    Jul 2002
    Messaggi
    7,854
    Se il nome del file è parametrico allora per evitare spiacevoli sorprese puoi:
    1. abilitare una sola cartella dove poter scrivere con FSO.
    2. permettere l'accesso a file con una determinata estenzione.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.