posts - 4238, comments - 3946, trackbacks - 370

My Links

News



Subscribe Subscribe

image image image





This is my personal weblog. These postings are provided 'AS IS' with no warranties, and confer no rights. The views expressed on this weblog are mine alone and do not necessarily reflect the views of my employer.

Licenza Creative Commons

Tag Cloud

Archives

Post Categories

Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Moltissima gente c'è rimasta male per il problema di sicurezza dell'autenticazione Form-based di ASP.NET.

Il fatto che con un \ al posto di / si potesse bucare un sistema di autenticazione usato dalla stragrande maggioranza dei siti ASP.NET è veramente inquietante.

Ma succede. "Shit happens" diceva qualcuno...

La sicurezza è un qualcosa che va ricercato sotto tantissimi punti di vista.

In questo caso chi era protetto da URLScan (incluso in IIS 6, nell'IIS Lockdown Tool o installabile singolarmente) ha scampato il pericolo (sempre che non abbia giocato troppo con la configurazione del tool...) ma non sempre va cosi.

Nella sessione di giovedì Raffaele ha mostrato una delle novità di ASP.NET 1.1 rispetto alla 1.0: la validazione automatica della request fatta dall'utente, per impedire la ricezione di codice HTML, script, etc...

Beh, pochi sanno che anche questa feature così utile era bacata, come si può vedere qui. Naturalmente il problema è già stato risolto da un pezzo, e la soluzione era disponibile sia nelle HotFix di ASP.NET, sia nel SP1 del .NET FW 1.1, ma il problema è un altro.

Il problema è che in un caso bastava un \ al posto di /, nell'altro caso bastava un %00 tra < e script...

Questo vuol dire che molto spesso si mettono su dei muri alti sei metri, impenetrabili, porte blindate, finestre corazzate e poi si lascia la chiave di casa sotto lo zerbino...

Non ce l'ho con i programmatori di ASP.NET (anche se fonti interne mi dicono che bevono tutti ), era solo per dire di stare attenti, attivare tutte le difese, ma a volte queste non bastano.

Non fidiamoci della protezione di ASP.NET punto e stop, usiamola, ma validiamo anche noi quello che ci serve, controlliamo che esista veramente un utente autenticato prima di dargli il contenuto della pagina, e soprattutto teniamo sempre occhi e orecchie aperte, e installiamo tutti i sistemi che possono aiutarci.

Anche URLScan, da me tanto decantato, potrebbe avere dei problemi in futuro, quindi non possiamo pensare di affidargli il compito di proteggerci come se fosse l'uomo ragno... Dobbiamo essere noi a proteggerci, leggendo i siti dedicati alla sicurezza, iscrivendoci alle mailing list che postano problemi e patch (ce ne sono anche in Microsoft), sfruttando siti come www.kbalertz.com, insomma facendo il possibile per tenere alta la guardia.

Ne va del nostro lavoro, ne va dei dati delle persone, ne va della credibilità...

Print | posted on sabato 2 ottobre 2004 15:10 |

Feedback

Gravatar

# re: Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Già credo anch'io...
02/10/2004 16:28 | Lorenzo Barbieri
Gravatar

# re: Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Concordo in pieno con Luka!
02/10/2004 17:35 | Lorenzo Barbieri
Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET