Scoperto piccolo bug (source disclosure) sul mio server, grave falla?

[tyldan]

Salve gente,
Ho un server (iis 7) con alcuni script in asp ovviamente.
Ieri ho trovato un piccolo bug che faceva leggere il codice sorgente delle pagine asp.
Premettendo che soltanto la porta 80 e' aperta.
Avendo anche la configurazione e pass del db, che cosa possono aver visto?


Cioe' questo bug oltre a far vedere pass del db + codici sorgenti, che altro puo' aver divulgato di cruciale?


P.S gia' corretto il bug e cambiata la pass del DB.

 

[encrypt]

Scusa ma perchè non utilizzi un server con apache , che è decisamente migliore di iis ?
Comuque credo che avendo la password si dovrebbe poter effettuare un accesso remoto al database , e quindi effettuare modifiche al db .

 

[meh.]

Scusa ma perchè non utilizzi un server con apache , che è decisamente migliore di iis ?

Forse perche' usa ASP?

Comuque credo che avendo la password si dovrebbe poter effettuare un accesso remoto al database , e quindi effettuare modifiche al db .

Premettendo che soltanto la porta 80 e' aperta.

 

[encrypt]

Scusa ma perchè non utilizzi un server con apache , che è decisamente migliore di iis ?

Forse perche' usa ASP?

Comuque credo che avendo la password si dovrebbe poter effettuare un accesso remoto al database , e quindi effettuare modifiche al db .

Premettendo che soltanto la porta 80 e' aperta.

1) Potrebbe usare PHP
2) Non avevo letto bene :blush:

 

[meh.]

1) Potrebbe usare PHP

Ieri ho trovato un piccolo bug che faceva leggere il codice sorgente delle pagine asp.

 

[imported_blacky]

2) Non avevo letto bene :blush:

:blush:

 

[tyldan]

lol ovvio usa asp.

Comunque avendo soltanto la porta 80 aperta, come riescono a fare un collegamento remoto?

Nothing else?

 

[meh.]

lol ovvio usa asp.

Comunque avendo soltanto la porta 80 aperta, come riescono a fare un collegamento remoto?

Nothing else?

Se hai solo l'80 aperta stai pure tranquillo.

Se pero' ci sono altri bug e li han trovati a quel punto possono fare un po' quello che gli pare.

 

[Bl4k3]

posso sbagliarmi ma credo che con l'accesso al db e le password dell'admin non sia difficile defacciare o aggiungere qualche shell "bind o reverse in php"