posts - 644, comments - 2003, trackbacks - 137

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links

Il bug c'è ma non è della Forms Authentication

Quando ho letto il link che Lorenzo e poi Andrea mi hanno mandato riguardante il bug della forms authentication, mi è venuto subito l'atroce sospetto e dopo un veloce test ho avuto la conferma.

Il bug riguarda le autorizzazioni di asp.net indipendentemente dal tipo di autenticazione usata.

Si, avete capito bene, con lo stesso exploit ho potuto bucare un progetto di test interamente protetto con la Windows Authentication.

Ovviamente non si tratta di un bug di Kerberos o di Windows. L'autenticazione Windows deve avere luogo altrimenti l'utente non può fare nulla.
Io mi sono loggato alla home page della web app di test come semplice user. Quindi ho protetto una pagina in modo che solo gli administrators potessero raggiungerla.
Nella home page del progetto ho creato due link alla pagina protetta: un link 'normale' ed uno con il %5C. Il risultato è stato quello aspettato e con il secondo link sono riuscito ad entrare nella pagina di admin anche se ero loggato come semplice utente.

Il bug sembra proprio girare intorno al modulo di autorizzazione, non ho potuto ancora identificare di preciso il punto, visto che sono lontano dalla mia postazione operativa.
Al mio rientro non esiterò a scomodare i sorgenti del framework per identificare meglio il problema.

Print | posted on domenica 3 ottobre 2004 00:32 | Filed Under [ ASP.NET [Italiano] ]

Feedback

Gravatar

# re: Il bug c'è ma non è della Forms Authentication

Aggiungo anche che questo implica che probabilmente tutte le forme di autenticazione (passport inclusa) dovrebbero esserne colpite anche se non ho fatto test a questo proposito.
03/10/2004 00:40 | Raffaele Rialdi
Gravatar

# re: Major ASP.NET Forms Authentication vulnerability found!

03/10/2004 01:26 | [karsten samaschke]
Gravatar

# re: Il bug c'è ma non è della Forms Authentication

Trovi una risposta credo esauriente in questo post di Roberto: http://blogs.devleap.com/rob/archive/2004/10/02/1803.aspx
03/10/2004 13:52 | Marco Russo
Gravatar

# re: Il bug c'è ma non è della Forms Authentication

Ti ringrazio Marco, Lorenzo mi ha segnalato il post di Roberto poco dopo il mio post.
Sono fuori con gprs e quindi ho potuto fare ancora pochi test / leggere in giro altre news.
Mi sembra comunque che siamo sostanzialmente allineati.
Ho altri test in mente ma non potrò farli prima di martedi :-/
03/10/2004 18:52 | Raffaele Rialdi
Gravatar

# Magie di Google... e di NetCraft!

08/10/2004 12:44 | Lorenzo Barbieri @ UGIblogs!
Gravatar

# Magie di Google... e di NetCraft!

08/10/2004 12:52 | Lorenzo Barbieri @ UGIblogs!
Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET