[Robert]

Citat:

Originally posted by Intet@Apr 28 2008, 14:48
http://www.idg.se/2.1085/1.158700

Vad gör man nu om man sitter på två IIS servrar som idag inte är drabbade (ta i trä) om man vill säkra upp?

Någon som sett något patch eller beskrivning hur man tätar hålet?

Du ser bara till att utveckla på ett sätt som är säkert (sql injections är inte plattformsspecifikt), det är den enda "säkerhetsluckan" det där gratisföretaget Panda har hittat... och så bör du sparka nedåt när alla underdogs här försöker få ner dig i open source träsket.

[Xamda]

Det säger mycket mer om Panda som företeelse än det säger om Microsoft och det är ju knappast så att MS har mutat Panda för att ljuga ihop en historia, det behövs inte då felet inte ligger i MS produkt i sig.

Väldigt vad konspiratoriska alla var här då... ;-)

[stuckish]

Oj vad jag håller med Xamda, jag trodde faktiskt att detta Windows hat hade lagt sig en del efter den senaste tidens mer "öppna världsbild" som iallafall de amerikanska "nördarna" verkar ha fått. Trodde det var Google som var the big bad guys nu.

I vilket fall så är ju IDG rätt kända för att vinkla alla sina artiklar lite anti microsoft så fort dom får chansen och detta har inte ett piss med IIS att göra. SQL Injection är bara amatörer som inte kan skriva kod som drabbas av (tyvärr kan jag väl hålla med om att ASP drog till sig mer amatörer än vad kanske PHP gör) ..

Använd parametrar istället för att bygga ihop strängar när du anropar databasen så är problemet löst.

[jonny]

Om den enda källan är Panda så ställer jag mig frågande till det hela.

Panda är visserligen den mest effektiva mjukvarubrandvägg jag någonsin använt - den kraschade och därmed all internetaccess till skiten avinstallerats. Det var visserligen något år sedan men jag lär av mina misstag.

Panda är också företaget som hittar dubbelt så många virus som resten av företagen i branschen och jag har personligen svårt att tro att det beror på att Panda skulle vara så mycket bättre.

Ett nytt lågvattenmärke för IDG kankse...

[StefanBergfeldt]

Det finns två stora faror du ska passa dig för.

1. SQL-Injections. Se till att verifiera indata, och använd Typsäkrade parametrar så är detta inget problem.

2. XSS, där ett Javascript läggs in på sidan som rapporterar innehållet i Cookies osv till andra platser. Återigen, verifiera indata. Se också till att inte skriva ut text som användare kan påverka direkt på sidan utan att kontrollera innehållet.

Microsoft har faktiskt byggt in skydd för det senare i ASP.NET, varför ett felmeddelande genereras om en användare skulle försöka mata in text i stil med <script type="text/javascript">alert('Jobbig alertruta');</script>

[edit]
Se också till att eventuella felmeddelanden sprutar ut innehållet i konfigurationsfiler eller sökvägar till databaser osv.
[/edit]

[Daniel.st]

Citat:

Ursprungligen postat av sasserdude

Citat:

ja några miljoner dollar så var problemet löst
skämt å sido, men det är ju faktiskt tråkigt att microsoft betalar och mutar alla.

Jag misstänker att du kanske inte riktigt menade helt allvar med ditt påstående men om så är fallet får du gärna höra av dig med någon källa

Ett ev. problem här skulle många fler kunna både bekräfta och dementera och då försöka betala för någons tystnad låter ovanligt klantigt.

Ms har ju en historik av en del problem med en hel del klientapplikationer men om man kikar på exempelvis Windows 2003 Server och senaste versionerna av IIS har det inte funnits alls samma mängd problem i dessa som i klientapplikationerna.