Foros del Web - Ver Mensaje Individual - ¿Como impedir la opcion "ver codigo fuente"?

El_Metallick · #15 (**permalink**) 22/02/2006, 10:29

Cita:

Iniciado por richardinj

Creo que se refiere a ocultar el codigo fuente real... porque es imposible que se vea ese codigo (ASP) del lado del Cliente....

Estas seguro amigo mio??? la verdad de las cosas es que han habido problemas de seguridad con el IIS que han permitido a un "usuario" ver el codigo real de una pagina ASP y si das vuelta por la red aun hay servidores con uno que otro oyo de seguridad...

Procedo a contarles lo que incumbe a la seguridad

Febrero del 2000

Cita:

El problema

Como todos sabemos, cuando escribimos una URL que contiene una página ASP (Active Server Pages) en nuestro navegador, lo que obtenemos no es el contenido de la misma, como ocurre en las páginas HTML, sino que obtenemos el resultado de la ejecución de la página ASP que hemos solicitado. Hasta aquí nada nuevo.

Pero existe un agujero de seguridad en el servidor Web de Microsoft Internet Information Server 4 (IIS 4). Este fallo en la seguridad de IIS 4 consiste en que es posible que un cliente (navegador Web) pueda descargar o visualizar el contenido de una página ASP, es decir, puede obtener el código fuente completo de la página ASP, de la misma forma que lo podemos ver cuando desarrollamos aplicaciones Web con Visual InterDev. Lo mismo ocurre con el fichero GLOBAL.ASA.

Este ataque se realiza cuando al final de la URL que contiene una petición de una página ASP añadimos la siguiente cadena ::$DATA. Es decir, si por ejemplo tenemos la siguiente página ASP http://almagesto.com/entradaprivada.asp, para obtener el código fuente de dicha página ASP simplemente escribiremos lo siguiente: http://almagesto.com/entradaprivada.asp::$DATA.

El problema del literal $DATA es debido a que los ficheros del servidor Web se encuentran en un sistema de ficheros NTFS (NT File System), y este sistema de ficheros posee un valor por defecto denotado por el sufijo ::$DATA que se corresponde con el contenido del fichero, y al añadirlo a una URL de una página ASP no se respetan los mapeos que realiza IIS y permite que el servidor devuelva el contenido de la página ASP tal cual, en lugar de ejecutarla como sería lo normal y deseable.

La solución

Que no cunda el pánico, existen varias soluciones posibles al problema, ya que se trata de un problema conocido. Estas soluciones se encuentran extraídas de la base de conocimiento de artículos del sitio Web de Microsoft. Para más información sobre este tema se pueden consultar los siguientes artículos en el sitio Web de Microsoft: http://support.microsoft.com/support.../q193/7/93.ASP y http://support.microsoft.com/support.../Q188/8/06.ASP.

Una de las soluciones, y la más artesanal e inmediata, es mapear la extensión .asp::$DATA dentro de nuestro sitio Web. Para ello se debe abrir la página de propiedades del sitio Web y en la pestaña Directorio particular pulsar el botón Configuración. Y en la pestaña Asignaciones para la aplicación debemos mapear la extensión .asp::$DATA al fichero encargado de ejecutar las páginas ASP, es decir, la libreria ASP.DLL. Lo mismo debemos hacer con la extensión .asa::$DATA. El resultado de esta configuración se puede ver en la siguiente imagen.

Otra solución más rigurosa es instalar el Service Pack 4 de Windows NT o superior (el último es el SP 5). Este Service Pack corrige esta situación anómala en la ejecución de las páginas ASP. Se debe señalar que si tenemos ya instalado el Service Pack 4 de NT o superior, e instalamos Internet Information Server 4, deberemos volver a instalar el Service Pack para que repare los diferentes fallos que presenta IIS 4.

Y la última de las soluciones es utilizar la nueva versión de Internet Information Server, que se denomina Internet Information Services 5 y se encuentra dentro del sistema operativo Windows 2000 Server. IIS5 entre otras muchas mejoras soluciona este problema de seguridad.