Aprire un buco nella Forms Authentication

E pensare che abbiamo giusto ieri parlato di "ASP .NET Security".... Ledisendgentlemen, in collaborazione con quel buontempone del Barbieri e grazie ad un thread apparso su Sourceforge, ecco come bucare la Forms Authentication di ASP .NET: scaricate il progetto dimostrativo e pubblicatelo su una macchina IIS5 (IIS6 sembra essere immune) _senza_ URLScan (che come testato da Lorenzo offre protezione da questo bug). Provate a questo punto a fare browsing della pagina securepage.aspx contenuta nel folder wannabesecure:

http://miosito/wannabesecure/securepage.aspx

Come prevedibile, verrete rediretti alla pagina di login. Provate ora:

http://miosito/wannabesecure\securepage.aspx

Se usate IE, il browser efefttuerà un rewrite dello slash "malizioso"ed ancora una volta vedrete la pagina di login (con Mozilla avrete invece già fatto bingo). Provate allora a fare un "encoding (da) manuale":

http://miosito/wannabesecure%5Csecurepage.aspx

BINGO! Forms Authentication bucata e pagina (non più così) sicura in bella vista. Il sospetto è che ci sia un errore di path canonicalization nello httpmodule di ASP .NET...

Technorati Tags:

posted @ venerdì 1 ottobre 2004 16.44

Print

Comments on this entry:

# URLScan... il nostro salvatore.

Left by Lorenzo Barbieri @ UGIblogs! at 01/10/2004 16.51
Gravatar

# URLScan... il nostro salvatore.

Left by Lorenzo Barbieri @ UGIblogs! at 01/10/2004 17.04
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Lorenzo Barbieri at 01/10/2004 17.54
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Lorenzo Barbieri at 02/10/2004 1.09
Gravatar
IIS 6 include URLScan, quindi è protetto.
Non è un problema di IIS se riguarda una feature specifica di ASP.NET.

# Problema del giorno: Bug nella Forms Authentication....la verit

Left by Roberto Brunetti at 02/10/2004 12.06
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Roberto Brunetti at 02/10/2004 12.09
Gravatar
Dopo aver letto questo post, ho scritto un paio di considerazioni in merito a questo problema. Solo che alla fine è venuta fuori una cosa un po' troppo lunga e l'ho inserita in un post sul mio blog (http://blogs.devleap.com/rob/archive/2004/10/02/1803.aspx). Fondamentalmente il problema è più ampio, e non riguarda la Forms Authentication, ma bensi la lettura dei tag location del web.config e dei vari web.config delle sottodirectory di un'applicaizone. Nel mio post ho inserito anche due possibili soluzioni per risolvere il problema a monte.

# Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Left by Lorenzo Barbieri @ UGIblogs! at 02/10/2004 12.10
Gravatar

# ASP.NET Exploit: Sempre a proposito del tema caldo del weekend :-) ...

Left by Il Blog di Paolo Pialorsi at 02/10/2004 16.07
Gravatar

# ASP.NET Exploit: Sempre a proposito del tema caldo del weekend :-) ...

Left by Il Blog di Paolo Pialorsi at 02/10/2004 16.09
Gravatar

# E io che compravo la cucina nuova...

Left by Alessandro Scardova blog at 03/10/2004 1.02
Gravatar

# Aprire un buco nella Forms Authentication

Left by Pingback/TrackBack at 03/10/2004 10.15
Gravatar
Aprire un buco nella Forms Authentication

# Sicurezza, .NET e Bush...

Left by LastKnight .NET Blog at 04/10/2004 16.35
Gravatar

# Aprire un buco nella Forms Authentication

Left by Pingback/TrackBack at 05/10/2004 15.40
Gravatar
Aprire un buco nella Forms Authentication

# re: Aprire un buco nella Forms Authentication

Left by seiken at 18/10/2004 15.52
Gravatar
i dati sensibili e'meglio tenerli sotto al materasso

# re: Aprire un buco nella Forms Authentication

Left by kRum1r0! at 18/10/2004 15.55
Gravatar
seiken non hai il coraggio di imparare come proteggere al meglio i dati sensibili, sei poco simpatico e professionale.

# re: Aprire un buco nella Forms Authentication

Left by kRum1r0! at 18/10/2004 16.04
Gravatar
Io sono talmente al sicuro con i server di consultingweb.it che sono impenetrabile...

# Ask Mr. Key: Un esempio di login in asp.net

Left by radicalmente at 29/06/2005 1.40
Gravatar
In questo articolo si spiega come ottenere una login per mezzo di asp.net rispettando le più comuni norme di sicurezza

# Ask Mr. Key: Un esempio di login in asp.net

Left by Radicalmente at 21/10/2005 10.59
Gravatar

# Ask Mr. Key: Un esempio di login in asp.net

Left by Radicalmente at 02/10/2006 0.18
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Pendrive at 15/01/2008 14.51
Gravatar
It’s very good article. Great site with very good look and perfect information.

Your comment:



 (will not be displayed)


 
 
 
Please add 2 and 3 and type the answer here:
 

Live Comment Preview:

 
«settembre»
domlunmarmergiovensab
28293031123
45678910
11121314151617
18192021222324
2526272829301
2345678