Ich bin gestern im laufe des Nachmittags draufgekommen (weil ich mit
einigen befreudneten Admin geredet habe und), da� es beispielsweise Gang
& Gebe ist, die Datenbankverbindung �ber eine Include-Datei (.INC!!!!)
abzuwickeln.
Ergo: Nach meiner Meldung hat die Wirtschaftskammer �sterreich in die
Authentifizierung ein "replace(request("Username"),"'","")" eingebaut
--> SQL-Fehlermeldung, die die ganze Datenbank-Connection im Klartext
(IP-Adresse des Servers, Datenbankname, SA & Kennwort!) angezeigt hat.
Das ist eine ordentliche Bombe auf der wir da sitzen - vor allem, weil
da ja nicht nur ASP&Microsoft betroffen ist sondern auch php&MySQL unter
Linux; einfach alles, was eine Datenbank hat und Parameter anfragt....
uns sp�testens der Eintrag in ein Feedback-Formular oder die Bestellung
von iregndwas (oder ein G�stebucheintrag) �ffnet die Datenbank mit
Schreibrecht!
*stefan*
-----Urspr�ngliche Nachricht-----
Von: Claudius Ceteras [mailto:[EMAIL PROTECTED]]
Gesendet: Mittwoch, 31. Oktober 2001 10:16
An: ASP Datenbankprogrammierung
Betreff: [aspdedatabase] RE: AW: Listmaster "Spam": Artikel
Klar Karin,
Wenn man das mit den Rechten alles richtig macht, sind schon mal eine
Menge L�cher gestopft...
Aber in einer Welt in der viele ihren Produktion-Server mit leerem
passwort f�r den sa laufen lassen......
Claudius
| [aspdedatabase] als [EMAIL PROTECTED] subscribed
| http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
| [aspdedatabase] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdedatabase/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdedatabase.asp
