Elektropost

> There is a new player in town called EPIServer from a swedish company called
Elektropost. The product is a CMS and is spreading rapidly. But it seems to be
full of bugs. Here are some examples:
>
> Gives out a lot of information:
> http://www.*.se/templates/Page.aspx?id=20691
>
> Now this is not very nice:
> http://www.*.se/system/linkurl.asp?root=../../../
>
> This is a swedish consultant specialising in EPIServer:
> http://www.*.se/news.asp?id=7661
>
> The official site for Sweden:
> http://www.*.se/*/CommonPage____19461.asp
> http://www.*.se/*/linkurl.asp?root=../../../
>
> Another site:
> http://www.*.stockholm.se/templates/Page.asp?id=2098
>
> If You enter too much in the user/password-fields they have to reboot:
> http://www.*.se/edit
>
> Same goes for this site:
> http://www.*.se/edit
>
> Can anyone find more bugs in this so called product?
>
> Now there?s a challenge...

Gargamel was here...

Kan nån förklara vad det handlar om?

Han postade ett par buggar i EPIserver.
Den användes, bevisligen, av vissa stora sajter.
Dålig på att förklara var han dock...

Hitta sidor som använder sig av samma system, skriv sedan /linkurl?root=
Det du kan göra är att browsa servern och ta bort filer.
Ej ladda ner dock.

Wooh. Låter mycket intressant. Någon som har mer/mer utförlig information om Typ av tänst / Version / Kända bugga / mm.

Ger mig ut på en sökrunda nu, återkommer om jag hittar nått intressant.

Argh, hittar inget. Nån som har info?

Hej igen

Anledningen till att det finns så lite info om produkten är att den enbart finns i Sverige och Norge än så länge. Men den håller på att rullas ut i ganska stor omfattning på den nordiska marknaden. EPI bygger på ett helt MS-kit med MS IIS, MS SQL. Som publiceringsverktyg används MS IE (funkar givetvis inte med Netscape)....

EPI är egentligen ingenting annat än en massa ASP-script och numera C#-kod som möjliggör CMS över webben. Problemet är bara att EPI bygger på att behörigheter och rättigheter sätts upp mer än de borde behöva..

Faktum är också att flera stora svenska och norska börsnoterade företag använder sig av EPI både för sin interna och externa webbplats. Tanken med EPI var nog snarare att endast köra det i ett Intranet.

Om du är sugen på att utforska möjligheterna med EPI så kör bara en sökning i Google eller din favoritsökmotor på orden EPI, CMS, elektropost

Många stora konsultföretag förordar användandet av EPI, t.ex. VM Data, Meteorit och Valtech.

Sårbara versioner är samtliga (mer eller mindre). Allra värst är det för de som inte har uppgraderat till version 4.x. Där är systemet helt öppet. Om du vill kan du testa att browsa filsystemet och i ett fall kommer du att hitta ganska intressanta kundregister och utskickade offerter....

ett tips: sök på "powered by episerver".

Ja, men finns det några resurser som beskriver problemet mer ingånde? t.ex säkerhetshålen och på vilka sätt de kan utnyttjas. Vad som behöver ändras för att göra det säkert mm.

kommer in men kan varken ta bort eller radera.. använder ni vanlig browser eller?

Nope. It's up to You man!

Varför alltid förlita sig på andra, när man kan göra saker själv?

/Doodie

ska nog testa lite.

jag fattar inte riktigt hur det ska gå till. jag har hittat en sida som är "Powered by Episerver"
ska det så ut så här:
http://www.ux.no/linkurl?root=
eller vad?

Jag hade ingen aning om att EPIServer var så buggig, trodde det var ett "riktigt" CMS-verktyg så att säga. Väldigt intressant information. Om någon kan förklara vilka typer av buggar det rör sig om och på vilket sätt dessa buggar kan vara ett skäl att inte välja EPIServer så vore jag mkt tacksam.