SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure
Sicherheitsrisiko durch PageParserPaths!

Blogs

Fabian´s Blog [SharePoint MVP]

Syndication

Die Standardeinstellung einer SharePoint-Anwendung unterbindet jeden Server-seitigen Programmcode. Das bedeutet, dass keine C# oder VB.NET Code Blöcke in einer SharePoint Seite (oder Page Layout oder Master Page) eingebunden werden können.

In einigen Blogs und Foren sind Anleitungen zu finden, wie diese Einstellung umgangen werden kann. Durch das Hinzufügen eines <PageParserPaths>-Tags in der web.config der Webanwendung, kann die Ausführung von Server-seitigem Code erlaubt werden. Hier ein Beispiel:

<PageParserPaths>

<PageParserPath VirtualPath="/pages/*" CompilationMode="Always"

         AllowServerSideScript="true" IncludeSubFolders="true"/>

</PageParserPaths>

Leider vernachlässigen die Blogbeiträge den Hinweis auf das potentielle Sicherheitsrisiko dieser Einstellung.

Durch diese Einstellung kann das Sicherheitssystem einer SharePoint-Farm kompromittiert werden. Jeder Benutzer, der das Recht hat, eine Webpart-Seite zu editieren, wäre in der Lage, beliebigen full trusted Code in dieser Seite auszuführen. Wen Code in einer SharePoint-Seite, Vorlage oder Master Page ausführen möchte, sollte auf Technologien, wie Web Server Controls, User Controls oder auch Webparts zurückgreifen. Auf die Ausführung von Code Blöcken innerhalb der SharePoint Site würde ich dringend abraten!


Bereitgestellt 22 Apr 2008 10:03 von Fabian Moritz
Gespeichert unter:

Kommentare

http:// geschrieben re: Sicherheitsrisiko durch PageParserPaths!
on 25 Apr 2008 14:52

nicht jeder serverseitige code ist unterbunden

msdn2.microsoft.com/.../cc411726.aspx