Sicherheitslecks durch ladbare css-Datei, denkbar oder nicht?

17/12/2007 - 12:29 von Christian Stueben | Report spam
Hallo alle,
folgende Frage habe ich ...

Sind Sicheheitslücken für den Server (w2k3, iis) denkbar, wenn sich die
Anwender zur Seitengestaltung eine eigene css-Datei hochladen können?
Serverseitig wird die Datei nur durch
<input type="file" runat=server ...
geladen, dann per
Request.Files[bn].SaveAs (...

abgespeichert, und nachher in der Webseite
<LINK href=".." type="text/css" rel="stylesheet">

aktiviert.



Da ja die css-datei nur geladen, kurz zwischengespeichert, und dann am
gleichen Client wieder genutzt wird, und KEINE weitere Zwischenverarbeitung
im Server stattfindet, gehe ich davon aus daß KEINE Sicherheitsbedenken für
den Server bestehen.



Richtig, oder gehe ich von falschen Voraussetzungen aus?

Danke im Voraus.



mfg Chris
 

Lesen sie die antworten

#1 Thomas Bandt
17/12/2007 - 13:22 | Warnen spam
Christian Stueben schrieb:
Richtig, oder gehe ich von falschen Voraussetzungen aus?



Ich sehe da auch kein großes Risiko, wobei du die Lücke nicht
nur am Server suchen darfst - XSS am Client ist ebenso
problematisch. Aber ich kann mich nicht an eine Lücke bzgl.
CSS erinnern - es schadet aber nicht das File mal zu
parsen und nach untypischen Strings zu filtern.

Gruß, Thomas [MVP ASP/ASP.NET]
http://www.69grad.de - Beratung, Entwicklung
http://www.dotnetjob.de - .NET-Stellenmarkt
http://blog.thomasbandt.de - Thomas goes .NET

Ähnliche fragen