Ignorace některých správců webových serveru nezná mezí. Před časem (5.9.2000) jsem upozornil správce sítě mezinárodních aukčních serverů EEEBID na starou a velmi známou chybu +.htr +.htw (viz. můj článek pro Svět Namodro), která dovoluje získat zdrojové kódy ASP stránek a samozřejmě i ASA souboru. Ani po více než třech měsících nebyl nikdo schopen tuto chybu opravit ač proběhla změna stránek i souboru global.asa. Proto jsem ve čtvrtek kontaktoval pražskou pobočku EEEBID a o chybě ještě jednou informoval s tím, že v pondělí věc zveřejním.

Zneužití chyby je zcela jednoduché a zvládne ho každý kdo si umí otevřít prohlížeč. Do řádku pro adresu si napíšete URL serveru, který Vás zajímá spolu se zákeřnou koncovkou (v našem případě tedy: http://www.eeebid.cz/global.asa+.htr) a už jen čekáte na odpověď. Pokud je chyba opravena dostanete hlášení 404 - stránka nenalezena. Pokud ne, tak jste jednou nohou v systému. Dostanete totiž prázdnou (bílou) stránku kde zvolíte zobrazení zdrojového kódu. V případě EEEBIDu je to zdroj souboru global.asa, který zcela trestuhodně obsahuje i heslo do SQL serveru. Ale ani tady EEEBID netroškařil a nabízí nám rovnou heslo systémového administrátora (sa). 

<SCRIPT LANGUAGE=VBScript RUNAT=Server>

sub Application_OnStart
Application("cnn_str")="dsn=eeebid;uid=sa;pwd=;"
..........

Co tedy dělat dále? Už se stačí pouze připojit na SQL databázi a můžete si dělat co se vám zlíbí. Například změnit heslo do DB, stahovat osobní data uživatelů systému, přidávat či mazat položky nebo rovnou zrušit celou databázi. Vaše řádění už totiž zastaví pouze vypnutí serveru. Tímto (podobným) způsobem byl například hacknut i server Mr. Linx.

Jak chybu odstranit? Odstranění chyby je stejně jednoduché jako její zneužití. Zabere asi tři minuty za které vaše data určitě stojí.

1.        Spusťte si Internet Service Manager, zvolte server a PROPERTIES

2.        WWW service - EDIT

3.        HOME DIRECTORY - CONFIGURATION

4.        .htw  - REMOVE     .htr - REMOVE

5.        APPLY