Октябрь 8, 2004

Брешь в ASP.NET позволяет обойти пароли

В технологии ASP.NET обнаружена серьёзная "дыра" в подсистеме обработке URL-ов, которая позволяет получить доступ к защищённым областям сайтов, не вводя никаких паролей. Для этого достаточно всего лишь изменить URL. Проблема связана с ошибкой в процессе при обработке запросов, называемом "canonicalization": если пользователь заменит символ "/" на "\" или "%5C", он сможет добраться до защищённых страниц. Интересно отметить, что ошибка обрабатывается по разному в браузерах Mozilla и Internet Explorer.

Ошибка проявляется на серверах Microsoft Windows 2000, Windows 2000 Server, Windows XP Professional, и Windows Server 2003.

Microsoft только собирается выпустить заплатку, а пока веб-разработчикам предлагается прочитать рекомендации по предотвращению подобных взломов.

12:48 « предыдущая | следующая » Новости

Комментарии

1. 25.07.07 04:38 От: Чайнег

Чегооо????

Ваш комментарий

Обсудить на форуме?

Подумайте, прежде чем высказать своё мнение. Постарайтесь сделать свой комментарий полезным для других. Не используйте ненормативную лексику. Пользователи, пишущие "от нечего делать" бессмысленные наборы символов, будут блокироваться навсегда.