Aprire un buco nella Forms Authentication

E pensare che abbiamo giusto ieri parlato di "ASP .NET Security".... Ledisendgentlemen, in collaborazione con quel buontempone del Barbieri e grazie ad un thread apparso su Sourceforge, ecco come bucare la Forms Authentication di ASP .NET: scaricate il progetto dimostrativo e pubblicatelo su una macchina IIS5 (IIS6 sembra essere immune) _senza_ URLScan (che come testato da Lorenzo offre protezione da questo bug). Provate a questo punto a fare browsing della pagina securepage.aspx contenuta nel folder wannabesecure:

http://miosito/wannabesecure/securepage.aspx

Come prevedibile, verrete rediretti alla pagina di login. Provate ora:

http://miosito/wannabesecure\securepage.aspx

Se usate IE, il browser efefttuerà un rewrite dello slash "malizioso"ed ancora una volta vedrete la pagina di login (con Mozilla avrete invece già fatto bingo). Provate allora a fare un "encoding (da) manuale":

http://miosito/wannabesecure%5Csecurepage.aspx

BINGO! Forms Authentication bucata e pagina (non più così) sicura in bella vista. Il sospetto è che ci sia un errore di path canonicalization nello httpmodule di ASP .NET...

Technorati Tags:

Il Workshop: my 2 (euro) cents

WOW! Quanti commenti, quanto entusiasmo! Chi si rammarica per non esserci stato, chi addirittura avrebbe rinunciato al film per approfondire. Che paura, che responsabilità, che gioia. Provo a dire la mia, provando oltretutto ad organizzare un pensiero che invece vorrebbe muoversi sull'onda delle emozioni che abbiamo vissuto insieme.

Punto uno: le scuse. Ieri la gestione del pranzo è stata un disastro. Scusa, scusa, scusa. Avevamo chiesto 4 casse aperte (una sorta di multithreaded-food-erogation), l'organizzazione logistica del cinema ne ha allestite solo 2 per 45 minuti buoni. Fastidioso, inaccettabile, persino punitivo per tutti noi che invece eravamo lì per parlare (insieme) di tecnologia e ci siamo visti negare il tempo necessario (già insufficiente in sè).

Punto due: i ringraziamenti. Fabio: tua l'idea di fare una "cosa divertente". Ci abbiamo lavorato da giugno, e probabilmente ci siamo anche riusciti. Grazie anche perchè, mentre mi vestivo da SpiderMan e mi sentivo un (po') idiota, vederti sorridente e sentirti dire: "Quando Ricky vedrà le foto dirà: -Mio padre è l'Uomo Ragno: ne ho le prove-" mi ha dato quel coraggio che altrimenti poteva mancare. Grazie a Sara, che si è inventata una "comunicazione" degna di una campagna elettorale, e ha pure tirato fuori dal cilindro il bonus offerto da Register.it; Sara: se mi fai eleggere sindaco alle prossime elezioni a Milano sostituiamo la statua di Napoleone con quella di Adriano (quello vero, mica quello "antico"). Roberta... Se non ci fosse, bisognerebbe inventarla. Se esistono i badge, se quando si arriva il cinema è già aperto e si possono fare le prove, se... E' merito suo. Insomma, è come avere Stankovic in squadra: ti fa il lavoro sporco e poi se ne esce pure con la giocata e la butta dentro. Grazie a Raf (con tanto di maglietta "Le so tutte!": evidentemente l'autoironia è dote comue in "famiglia") e Pierre, che è stato tanto gentile da avvertirmi con qualche giorno di anticipo in merito alla (ennesima) battutaccia sull'Inter. Grazie a tutto lo staff UGIdotNET che era presente, perchè solo se ci muoviamo insieme possiamo continuare così. Infine, vorrei ringraziare 413 persone: persone che da tutta Italia si sono mosse per un motivo comune: tecnologia, conoscenza, miglioramento, community. Credetemi: lo sappiamo bene, lo sentiamo forte. E non lo dimenticheremo.

Non perdetevi il reportage fotografico di Carlo, che in perfetto stile "Real TV" mostra addirittura me e Fabio nel backstage (modo gentile per dire: "in mutande") 

[Now listening to: "Pictures of You", The Cure]

«ottobre»
domlunmarmergiovensab
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456