Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
07.09.2007, 14:45
|
|
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925
Репутация:
1348
|
|
Really, there is only a one way to start attack on a server, perhaps - some kind of assistance for your further attack.
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
Последний раз редактировалось 1ten0.0net1; 07.09.2007 в 14:53..
|
|
|
07.09.2007, 17:56
|
|
Участник форума
Регистрация: 22.05.2006
Сообщений: 232
Провел на форуме:
561037
Репутация:
73
|
|
Безусловно интересный тип ошибки, конечно же никакого переполения сдесь нет. Framework самостоятельно перехватывает ошибку и обрабатывает её - вообще явление переполнения в нём пока не очень изучено (читай оч редко бывает, а если и бывает то поиметь с этого моло чего можно). Раскрытие пути тоже не всегда происходит, предположу, что путь раскрывается в результате неверно настроенного конфига, конкретнее параметра <compilation debug="true"/>. По дефаулте студией он выставляется в ложь, но для упрощения разработки многие выставляют в тру, а потом просто забывают постановить значение в ложь. У меня было такое что приложение вообще вывалилалось с таким параметром и отказывалось работать - приходилось поступаться безопасности ради работоспособности. Если всё настроено белее мение верно, со скрипт должен вернуть простую ошибку типа:
Exception Details: System.ArgumentException: Illegal characters in path.
или
Description: HTTP 404. The resource you are looking for (or one of its dependencies) could have been removed, had its name changed, or is temporarily unavailable. Please review the following URL and make sure that it is spelled correctly.
На счёт исходного кода, то тоже мало вероятно (хотя всё может быть). Возожно cash обратил внимание на блок Stack Trace в котором подробно описывается експшен, что действительно немного похоже на аспешный код, но это не так - всего лишь таблица инициалицации полей и выполнения функций.
Но бага действительно зачётная т.к. раскрытие полного пути - это немаловажно.
|
|
|
|
07.09.2007, 19:40
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Об этом баге реально нигде еще не сказано; посмотрел в ASP Auditor'е, для раскрытия пути там применяется совершенно иной способ:
Код:
http://site.com/[non-existent-file].aspx?aspxerrorpath=/
|
|
|
|
07.09.2007, 21:35
|
|
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520
Репутация:
2996
|
|
при некоторых условиях в баг репорте выводиться часть или весь код исходника aspx
Последний раз редактировалось Alexsize; 12.09.2007 в 09:58..
|
|
|
|
12.09.2007, 07:55
|
|
Новичок
Регистрация: 08.08.2007
Сообщений: 6
Провел на форуме:
31384
Репутация:
0
|
|
Please! Example.How to Attack file to database of it.
|
|
|
|
12.09.2007, 13:18
|
|
Участник форума
Регистрация: 22.05.2006
Сообщений: 232
Провел на форуме:
561037
Репутация:
73
|
|
Сообщение от [ cash ]
при некоторых условиях в баг репорте выводиться часть или весь код исходника aspx
Некоторые условия, это наличие следующей записи в вебконфиге <customErrors mode="Off"/> 
но для нашей баги исходник выводица не будет т.к. ошибка не на самой странице, а в фреймвёрке, а его исходники скомпилены и вообще это не аспх код
Если же мистейк на самой странице то вы получите парочку строк кода, детали компиляции и детали исходника скомпиленной паги.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.gif){kind=avatar}
![Отправить сообщение для [Raz0r] с помощью ICQ](fusion/misc/im_icq.gif)
Похожие темы
Линейный вид
