x-beliebig schrieb am 20. August 2009 19:34
> Nur war die
> Software auch noch dermaßen schlecht, dass sie zusammen viel, wie ein
> Kartenhaus, wenn man sie sich nur ganz vorsichtig unter
> Sicherheitsgesichtspunkten ansah. Gerade der IIS war sicherheitsmäßig
> ein Katastrophe
Den IIS 4 noch, der mit Windows 2000 kam, konnte man Fliegen-weise
kompromittieren, indem man einfach nach "security leak iis" oder
sowas suchte und dann einfach anwandte, was man so fand, z.B.
bestimmte Querystrings.
Bei jedem vierten IIS (eigene Erfahrung) kam man damals so an die
ASP-Quelltexte, die dann oft die SQL Server-Passworte (meist für
"sa")Â enthielten.
Ohne auch nur einmal nachgedacht haben zu müssen wohlgemerkt.
- Und ein lustiges Tool gab es, mit dem man sich die
NetBIOS-Freigaben von Rechnern <= Windows 2000 ansehen konnte.
Manchmal waren das nur Druckerfreigaben, aber meistens auch Ordner
oder gleich C:.Â
Einfach eine IP-Adresse aus der Liste anklicken, und dann "Remote
Windows Explorer" spielen. Einigen habe ich eine Nachricht
hinterlassen.
- Und der "SQL Slammer": Da hatte ich einen halben Tag installiert
(Treiber - Reboot - Programm - Reboot) und war dann mit ungepatchtem
SQL Server ins Netz gegangen (um mir das Service Pack zu besorgen).
Keine 10 Minuten im Netz, und der Rechner war ein Bot.
Solche Sachen waren bis vor kurzem völlig gang-und-gäbe in der
Microsoft-Welt!
Daß sich dies endlich geändert hat, zeigt auch die Abnahme
funktionierender Virenscanner unter dem extrem sicherheitsgeprüften
Windows Vista.
> Nur war die
> Software auch noch dermaßen schlecht, dass sie zusammen viel, wie ein
> Kartenhaus, wenn man sie sich nur ganz vorsichtig unter
> Sicherheitsgesichtspunkten ansah. Gerade der IIS war sicherheitsmäßig
> ein Katastrophe
Den IIS 4 noch, der mit Windows 2000 kam, konnte man Fliegen-weise
kompromittieren, indem man einfach nach "security leak iis" oder
sowas suchte und dann einfach anwandte, was man so fand, z.B.
bestimmte Querystrings.
Bei jedem vierten IIS (eigene Erfahrung) kam man damals so an die
ASP-Quelltexte, die dann oft die SQL Server-Passworte (meist für
"sa")Â enthielten.
Ohne auch nur einmal nachgedacht haben zu müssen wohlgemerkt.
- Und ein lustiges Tool gab es, mit dem man sich die
NetBIOS-Freigaben von Rechnern <= Windows 2000 ansehen konnte.
Manchmal waren das nur Druckerfreigaben, aber meistens auch Ordner
oder gleich C:.Â
Einfach eine IP-Adresse aus der Liste anklicken, und dann "Remote
Windows Explorer" spielen. Einigen habe ich eine Nachricht
hinterlassen.
- Und der "SQL Slammer": Da hatte ich einen halben Tag installiert
(Treiber - Reboot - Programm - Reboot) und war dann mit ungepatchtem
SQL Server ins Netz gegangen (um mir das Service Pack zu besorgen).
Keine 10 Minuten im Netz, und der Rechner war ein Bot.
Solche Sachen waren bis vor kurzem völlig gang-und-gäbe in der
Microsoft-Welt!
Daß sich dies endlich geändert hat, zeigt auch die Abnahme
funktionierender Virenscanner unter dem extrem sicherheitsgeprüften
Windows Vista.