Toon posts:

[ASP.NET] Asp.net heeft nogal een grote bug

Pagina: 1
Acties:
  • 130 views sinds 30-01-2008
  • Reageer

donderdag 30 september 2004 14:05

Acties:

Verwijderd

Topicstarter
Hallo,

Er is een grote bug in het ASP.NET beveiligingsmechanisme.

Je kan een website aanmaken met subdirs en deze beveiligen. Zo kun je in de web.config forms authenticatie gebruiken om deze subdir te beveiligen, zodat als er een aspx pagina uit de subdir wordt opgevraagd, je eerst naar een login pagina gestuurd wordt waar je je moet authenticeren. Anders krijg geen toegang tot de pagina's.

Maar tot mijn spijt, als grote .net aanhanger, zit er een stomme slash-actige bug in waardoor je wel toegang tot de subdir kan krijgen zonder in te loggen.

Het werkt alleen in mozilla/firebird omdat IE de slashes vanzelf goed zet:

http://localhost/beveiligd\bestand.aspx

en voila, je kunt erbij!

In IE kan het wel maar dan moet je %5C ipv \.

Nogal een ernstige bug aangezien veel sites op aspx draaien en gebruik maken van formsauthenticatie!

Er is nog geen melding van op http://www.microsoft.com/security/bulletins/default.mspx

Dus nog geen patch uit.

Dit is nogal een grote bug dus ben benieuwd hoe dit gaat aflopen.

dinsdag 5 oktober 2004 16:48

Acties:
  • eghie
  • Registratie: Februari 2002
  • Niet online

eghie

Spoken words!

Ik beveilig altijd de aspx pagina zelf. Dus in de pagina heb ik een functie die voor mij checkt of ik ingelogd ben of niet en als het niet zo is, ja dan rost hij je door richting inlog pagina.

dinsdag 5 oktober 2004 16:58

Acties:
  • gill
  • Registratie: Januari 2002
  • Laatst online: 08-06 14:10

gill

Love my lindsey...

Idd, ik heb het net even geprobeerd. Werkt idd... echt scary, ik kon meteen aan een pagina in de subdir zonder in te loggen.

Visit my new Blog!
www.Snowball.be

woensdag 6 oktober 2004 23:10

Acties:

Verwijderd

is dat deze misschien? Zo ja dan wordt er hard aan een fix gewerkt.
http://www.microsoft.com/security/incident/aspnet.mspx

donderdag 7 oktober 2004 14:17

Acties:
  • Xsion
  • Registratie: Oktober 2000
  • Laatst online: 30-11 22:42

Xsion

ik heb t ook getest maar bij mij werkt het niet.
misschien kan iemand iets meer uitleggen over deze bug zodat het duidelijker wordt waar het precies om draait.

vrijdag 8 oktober 2004 11:40

Acties:
  • whoami
  • Registratie: December 2000
  • Laatst online: 00:54

whoami

Ik heb dit mailtje van MS ontvangen;
Dear ASP.NET Customer,

This alert is to advise you of the availability of a web page that
discusses an investigation Microsoft is currently conducting into
public reports of a security vulnerability in ASP.NET. A malicious
user could provide a specially-formed URL that could result in the
unintended serving of secured content.

This alert is also to advise you of the availability of a new
Microsoft Knowledge Base article: 887459. This article contains
prescriptive guidance with steps customers can implement on their
ASP.NET applications to help protect against a wide variety of
malformed URL attacks.

Microsoft is providing this prescriptive guidance in order to inform
customers as quickly as possible about the vulnerability and
information on how to prevent an attack. Microsoft is actively
investigating this issue and plans to release additional guidance
and a security update to remedy the issue as soon as possible.
The Microsoft Knowledge Base article can be viewed here:
http://r.email.microsoft....uh29y..M.Cide.1Gg0.3b6nCU

The web page that discusses the current investigation into the
public reports of a vulnerability in ASP.Net can be viewed here:
http://r.email.microsoft....uh29y..M.Cidg.1Gg0.3bTHCW

If you have any questions, please see the discussion in the ASP.NET
Security Forums at:

http://r.email.microsoft....uh29y..M.Cidi.1Gg0.3bpnCY


Thank you,
The Microsoft ASP.NET Team
Xsion: het heeft te maken met 'beveiligde webpagina's' in asp.NET. In ASP.NET kan je ervoor zorgen dat enkel geauthenticeerde users een bepaalde webpagina te zien krijgen.
Blijkbaar is het nu zo dat, als je een \ gebruikt ipv een / in het url - path, je die pagina zowiezo te zien krijgt, of je nu authenticated bent of niet.

https://fgheysels.github.io/

vrijdag 8 oktober 2004 11:43

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 08:30

gorgi_19

Kruimeltjes zijn weer op :9

Xsion: het heeft te maken met 'beveiligde webpagina's' in asp.NET. In ASP.NET kan je ervoor zorgen dat enkel geauthenticeerde users een bepaalde webpagina te zien krijgen.
Blijkbaar is het nu zo dat, als je een \ gebruikt ipv een / in het url - path, je die pagina zowiezo te zien krijgt, of je nu authenticated bent of niet.
In IE werkt dat niet,daar moet je %5C oid gebruiken. Firefox / mozilla accepteren de \ wel; deze encoden hem automatisch.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

vrijdag 8 oktober 2004 11:46

Acties:

Verwijderd

Topicstarter
volgens mij werkt het alleen in IIS 5 zonder sp1 van .net framework.

--erg onder voorbehoud---

vrijdag 8 oktober 2004 11:47

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 08:30

gorgi_19

Kruimeltjes zijn weer op :9

Verwijderd schreef op 08 oktober 2004 @ 11:46:
volgens mij werkt het alleen in IIS 5 zonder sp1 van .net framework.

--erg onder voorbehoud---
Volgens mij werkt dat overal. MS heeft ook bevestigd dat het in alle versies van asp.net 1.1 zit.

[ Voor 13% gewijzigd door gorgi_19 op 08-10-2004 11:48 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo

vrijdag 8 oktober 2004 11:48

Acties:
  • whoami
  • Registratie: December 2000
  • Laatst online: 00:54

whoami

gorgi_19 schreef op 08 oktober 2004 @ 11:43:
[...]

In IE werkt dat niet,daar moet je %5C oid gebruiken. Firefox / mozilla accepteren de \ wel; deze encoden hem automatisch.
Ok, maar dat stond al in de startpost. :P
Verwijderd schreef op 08 oktober 2004 @ 11:46:
volgens mij werkt het alleen in IIS 5 zonder sp1 van .net framework.

--erg onder voorbehoud---
Ik heb het thuis getest, en het werkt ook met sp1.1. (IIS 5)

[ Voor 33% gewijzigd door whoami op 08-10-2004 11:49 ]

https://fgheysels.github.io/

zaterdag 9 oktober 2004 11:40

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

gorgi_19 schreef op 08 oktober 2004 @ 11:43:
[...]

In IE werkt dat niet,daar moet je %5C oid gebruiken. Firefox / mozilla accepteren de \ wel; deze encoden hem automatisch.
[antfuckmodus]
Het is juist precies andersom.
IE vreet \ wel, omdat je daarmee ook files binnen je OS mee kan gebruiken (browser/file-explorer integration). Zet dus ook niet de \ om naar %5C wat wel zou moeten, maar naar //.

"this behavior is by design©®"

Sommige websiteprutsers krijgen het dus ook voor elkaar om links als http:\\www.site.tld\sub\sub te laten werken in IE zonder na te denken.
Douw de bovenstaande foute urrel maar eens in IE en let goed op je statusbar onderin.


Gecko-browers doen daar niet aan mee (terecht) en zetten die \ om naar %5C en dáár gaat de form-authentication dus niet goed mee om.

[ Voor 22% gewijzigd door alt-92 op 09-10-2004 13:50 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq