最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
ASP.NET安全漏洞及对策
时间:2022-07-02 12:15:17 编辑:袖梨 来源:一聚教程网
在NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)和ASP.NET 1.1 (RTM, SP1).
当Form Authentication被使用时,匿名用户在试图访问被保护的页面如http://localhost/WebApplication2/secret.aspx时会被redirect到登录网页如http://localhost/WebApplication2/login.aspx?ReturnUrl=%2fWebApplication2%2fsecret.aspx.
但是如果使用Mozilla,匿名用户可以这样未经认证就访问被保护的页面:http://localhost/WebApplication2secret.aspx;对IE,可以使用%5C达到类似的效果:http://localhost/WebApplication2%5Csecret.aspx
微软在10月5日发布了What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页以提供针对此安全漏洞的对策。当前的对策主要是如KB887459所描述的那样在Global.asax或其Code-Behind中在Application_BeginRequest中增加检查
if (Request.Path.IndexOf('') >= 0 || System.IO.Path.GetFullPath(Request.PhysicalPath) != Request.PhysicalPath) { throw new HttpException(404, "not found"); }
显然每个Application都需要有这样的检查以应对此安全漏洞。微软还会提供其他的对策,请关注What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页更新。
对ASP.NET 2.0 Beta1,并没有此漏洞而是得到404错误。
贴子以"现状"提供且没有任何担保也没有授予任何权利
发表于 Thursday, October 07, 2004 1:53 AM
评论
# re: ASP.NET Form Authentication安全漏洞及对策 10/7/2004 8:49 AM TommyWOo
http://localhost/WebApplication2%5Csecret.aspx
当Form Authentication被使用时,匿名用户在试图访问被保护的页面如http://localhost/WebApplication2/secret.aspx时会被redirect到登录网页如http://localhost/WebApplication2/login.aspx?ReturnUrl=%2fWebApplication2%2fsecret.aspx.
但是如果使用Mozilla,匿名用户可以这样未经认证就访问被保护的页面:http://localhost/WebApplication2secret.aspx;对IE,可以使用%5C达到类似的效果:http://localhost/WebApplication2%5Csecret.aspx
微软在10月5日发布了What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页以提供针对此安全漏洞的对策。当前的对策主要是如KB887459所描述的那样在Global.asax或其Code-Behind中在Application_BeginRequest中增加检查
if (Request.Path.IndexOf('') >= 0 || System.IO.Path.GetFullPath(Request.PhysicalPath) != Request.PhysicalPath) { throw new HttpException(404, "not found"); }
显然每个Application都需要有这样的检查以应对此安全漏洞。微软还会提供其他的对策,请关注What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页更新。
对ASP.NET 2.0 Beta1,并没有此漏洞而是得到404错误。
贴子以"现状"提供且没有任何担保也没有授予任何权利
发表于 Thursday, October 07, 2004 1:53 AM
评论
# re: ASP.NET Form Authentication安全漏洞及对策 10/7/2004 8:49 AM TommyWOo
http://localhost/WebApplication2%5Csecret.aspx
相关文章
- 瓦探事务所怎么授权-无畏契约瓦探事务所在哪 07-07
- 继Gate和OKX之后,Pi Network或准备在以下交易所上市 07-07
- 燕云十六声七大乐器怎么获取-燕云十六声七大乐器获取攻略 07-07
- 无畏契约夜市什么时候开放-无畏契约夜市多久开启一次 07-07
- PS通道混合器怎么用?应用PS通道混合器快速改变季节教程 07-07
- 无畏契约夜市怎么打开-无畏契约夜市可以在手机上开吗 07-07