archivos .inc y su vulnerabilidad

Que tal
Estoy revisando un sitio en asp para documentarlo, y entre todo tengo que hacer recomendaciones de buenas practicas. En general yo sabia que en php no se debe usar los archivos .inc porque dicha extension no es procesada por el servidor web y, si alguien supiera la ruta, podria ver estos archivos como texto plano en su navegador. Segun he buscado en ASP tambien sucede esto, pero estoy probando si realmente existe la vulnerabilidad ya que me pasaron una carpeta con el codigo fuente, con lo cual se donde estan los archivos .inc. He intendado varias veces acceder a ellos en la barra de direcciones pero simplemente no me los muestra, entonces la pregunta es: ¿esta vulnerabilidad aun existe? no quiero ir a dar recomendaciones que ya no son validas.

Muchas gracias
Rick

Dependiendo de lo que contengan esos archivos .inc, pero en general no te los debería de abrir, sino que te los debería ofrecer para descargar, ya que la extensión .inc no es una que el browser reconozca.

Generalmente uno coloca esos archivos fuera de la raíz del servidor para que no se tengan acceso a ellos desde la barra de direcciones.

En general, si los archivos están dentro de alguna carpeta reconocida por el IIS como ruta de un sitio, es correcta tu observación si alguien supiera el nombre y ruta de dicho archivo, tendría acceso a él, independientemente de que solo quienes han tenido acceso al código fuente o al servidor sabrían de su existencia y localización.

Ahora, eso de que sabes y has comprobado que la ruta y nombre del archivo es correcta y aún así no los descargas, pues lo dudo, necesita constatarlo yo mismo, no hay razón aparente que yo sepa para que no los puedas descargar, a menos, claro, que dichos archivos estén localizados, como ya mencioné, fuera de un sitio web.

Muchas gracias por tu rápida respuesta.

Efectivamente trato de acceder a los archivos donde "creo" que deberían estar según la estructura de la carpeta con código fuente que me entregaron. Pero no me consta que estén ahí, probé abriendo varios txt que están en la raíz y en otras carpetas y todos los abre pero los .inc no. Quizás en el fuente que me pasaron están todos revueltos pero en el servidor los tienen ordenados en alguna carpeta aparte.

Entonces voy a incluir esa recomendación, nuevamente gracias por tu ayuda.

Rick

Al menos que los archivos INC hayan sido establecidos para que sean interpretados por ASP. Esto puede hacerse en propiedades del sitio web -> pestaña directorio particular -> botón configuración -> pestañas asignaciones.

¿Será eso?


Edito:

Pero cuando hacés eso... ¿te da un error 404 de archivo no encontrado o no?

Me sale el típico error 404

Se puede hace que el servidor procese los .inc? si es así entonces podría ser que lo tengan configurado así para evitar este problema y mi recomendación no serviría de nada :(

Rick

Si se puede. Pero tu recomendación podría ser que a) dejen de usar archivos con extensión INC y los conviertan a ASP o b) que hagan que el servidor los procese.

Sobre el error 404... pues... entonces no los estás encontrando... no están en realidad en la estructura de archivos donde los estás buscando... o... pues... ya.. no... sé... (exagerando el exceso de 3 puntos)

Si, acabo de hacer la recomendación y puse que cambien a extension .asp todos los .inc

Ademas voy a incluir la recomendacion que me acabas de decir para que el servidor procese los archivos .inc

Gracias!

que es cierto!

Acabo de hacer la prueba y efectivamente es como dices; esa pestaña la uso cuando ocupo agregar procesamiento al IIS de CGI's con Perl, pero no se me había ocurrido agregar alguna extensión particular al dll de asp para evitar su descarga directa.

thanks!

Yo no haría esa recomendación.
La extensión sirve para identificar el contenido/tipo de un archivo, si los que son archivos de inclusión los renombran a asp, ya no se podrán distinguir a simple vista, más si están en la misma carpeta.
Con sacar los .inc de la ruta del sitio o con lo que A_Z comentó creo es suficiente .... pero ahora ¿habrá alguna buena práctica que hable al respecto?

Pero claro, puse en la recomendación que identifiquen estos archivos con un nombre en especial para reutilizar código fácilmente y que ademas los agrupen en una carpeta diferente.