08.10.2004 - Брешь в ASP.NET позволяет обойти пароли

В технологии ASP.NET обнаружена серьёзная дыра в подсистеме обработке URL-ов, которая позволяет получить доступ к защищённым областям сайтов, не вводя никаких паролей. Для этого достаточно всего лишь изменить URL. Проблема связана с ошибкой в процессе при обработке запросов, называемом canonicalization: если пользователь заменит символ / на \ или %5C, он сможет добраться до защищённых страниц. Интересно отметить, что ошибка обрабатывается по разному в браузерах Mozilla и Internet Explorer.

Ошибка проявляется на серверах Microsoft Windows 2000, Windows 2000 Server, Windows XP Professional, и Windows Server 2003.

Microsoft только собирается выпустить заплатку, а пока веб-разработчикам предлагается прочитать рекомендации по предотвращению подобных взломов.

По материалам сайта http://nbsp.ru/

Тел.: (3262) 45-29-56, 45-43-87

E-mail: ounbtaraz@narod.ru

Copyright (c) by ОУНБ им.Ш.Уалиханова