.net tutto e oltre | C# & AS 400


Blogs Amici

Vulenrabilità delle applicazioni Asp.net

Microsoft ha riportato una grave vulnerabilità delle applicazioni ASP.NET (dalla 1.1 alla 4.0).

Questo piccolo bug consente di poter effettuare il download di tutti i file presenti sul server e di effettuarne la decifratura

La soluzione da adottare per eliminare tale problema è la seguente:

1)      Impostare nel web.config  i customErrors a On

<customErrors mode="On" defaultRedirect="~/errore.aspx" />

2)      mettere nella root del website il file errore.aspx, avente nel load il seguente listato:

protected void Page_Load(object sender, EventArgs e)
     {
         byte[] delay = new byte[1];
         RandomNumberGenerator prng = new RNGCryptoServiceProvider();

         prng.GetBytes(delay);
         Thread.Sleep((int)delay[0]);

         IDisposable disposable = prng as IDisposable;
         if (disposable != null) { disposable.Dispose(); }

     }

Per verificare che tutto funzioni correttamente è sufficiente richiamare una pagina web non presente all’interno della nostra solutions.

Per ulteriori informazioni:

http://www.microsoft.com/technet/security/advisory/2416728.mspx

http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

Categoria: Asp.net
lunedì, 20 set 2010 Ore. 11.23
Archivio Posts
Anno 2020

Anno 2019

Anno 2018

Anno 2016

Anno 2014

Anno 2013

Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008
Statistiche
  • Views Home Page: 151.007
  • Views Posts: 115.696
  • Views Gallerie: 8.496
  • n° Posts: 96
  • n° Commenti: 5
Tags
.Net 3.x ASP.NET ASP.NET AJAX C# C/C++/CLI Community Entity Framework Eventi IE IIS 7 LINQ Mobile Office OSS e Windows Silverlight Visual Basic Visual Studio 2005 Visual Studio 2008 WCF WCS Windows Live Windows Vista WPF AJAX CONTROL TOOLKIT JQUERY SHAREPOINT MOSS 2007 OFFICE JAVA PROGETTI Sql server SP1 .net 3.5 SP1 Visual Studio 2008 Tools Silverlight 2.0, SEO, POSIZIONAMENTO NEI MOTORI DI RICERCA
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003