Aprire un buco nella Forms Authentication

E pensare che abbiamo giusto ieri parlato di "ASP .NET Security".... Ledisendgentlemen, in collaborazione con quel buontempone del Barbieri e grazie ad un thread apparso su Sourceforge, ecco come bucare la Forms Authentication di ASP .NET: scaricate il progetto dimostrativo e pubblicatelo su una macchina IIS5 (IIS6 sembra essere immune) _senza_ URLScan (che come testato da Lorenzo offre protezione da questo bug). Provate a questo punto a fare browsing della pagina securepage.aspx contenuta nel folder wannabesecure:

http://miosito/wannabesecure/securepage.aspx

Come prevedibile, verrete rediretti alla pagina di login. Provate ora:

http://miosito/wannabesecure\securepage.aspx

Se usate IE, il browser efefttuerà un rewrite dello slash "malizioso"ed ancora una volta vedrete la pagina di login (con Mozilla avrete invece già fatto bingo). Provate allora a fare un "encoding (da) manuale":

http://miosito/wannabesecure%5Csecurepage.aspx

BINGO! Forms Authentication bucata e pagina (non più così) sicura in bella vista. Il sospetto è che ci sia un errore di path canonicalization nello httpmodule di ASP .NET...

Technorati Tags:

posted @ Friday, October 1, 2004 4:44 PM

Print

Comments on this entry:

# URLScan... il nostro salvatore.

Left by Lorenzo Barbieri @ UGIblogs! at 10/1/2004 4:51 PM
Gravatar

# URLScan... il nostro salvatore.

Left by Lorenzo Barbieri @ UGIblogs! at 10/1/2004 5:04 PM
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Lorenzo Barbieri at 10/1/2004 5:54 PM
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Lorenzo Barbieri at 10/2/2004 1:09 AM
Gravatar
IIS 6 include URLScan, quindi è protetto.
Non è un problema di IIS se riguarda una feature specifica di ASP.NET.

# Problema del giorno: Bug nella Forms Authentication....la verit

Left by Roberto Brunetti at 10/2/2004 12:06 PM
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Roberto Brunetti at 10/2/2004 12:09 PM
Gravatar
Dopo aver letto questo post, ho scritto un paio di considerazioni in merito a questo problema. Solo che alla fine è venuta fuori una cosa un po' troppo lunga e l'ho inserita in un post sul mio blog (http://blogs.devleap.com/rob/archive/2004/10/02/1803.aspx). Fondamentalmente il problema è più ampio, e non riguarda la Forms Authentication, ma bensi la lettura dei tag location del web.config e dei vari web.config delle sottodirectory di un'applicaizone. Nel mio post ho inserito anche due possibili soluzioni per risolvere il problema a monte.

# Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Left by Lorenzo Barbieri @ UGIblogs! at 10/2/2004 12:10 PM
Gravatar

# ASP.NET Exploit: Sempre a proposito del tema caldo del weekend :-) ...

Left by Il Blog di Paolo Pialorsi at 10/2/2004 4:07 PM
Gravatar

# ASP.NET Exploit: Sempre a proposito del tema caldo del weekend :-) ...

Left by Il Blog di Paolo Pialorsi at 10/2/2004 4:09 PM
Gravatar

# E io che compravo la cucina nuova...

Left by Alessandro Scardova blog at 10/3/2004 1:02 AM
Gravatar

# Aprire un buco nella Forms Authentication

Left by Pingback/TrackBack at 10/3/2004 10:15 AM
Gravatar
Aprire un buco nella Forms Authentication

# Sicurezza, .NET e Bush...

Left by LastKnight .NET Blog at 10/4/2004 4:35 PM
Gravatar

# Aprire un buco nella Forms Authentication

Left by Pingback/TrackBack at 10/5/2004 3:40 PM
Gravatar
Aprire un buco nella Forms Authentication

# re: Aprire un buco nella Forms Authentication

Left by seiken at 10/18/2004 3:52 PM
Gravatar
i dati sensibili e'meglio tenerli sotto al materasso

# re: Aprire un buco nella Forms Authentication

Left by kRum1r0! at 10/18/2004 3:55 PM
Gravatar
seiken non hai il coraggio di imparare come proteggere al meglio i dati sensibili, sei poco simpatico e professionale.

# re: Aprire un buco nella Forms Authentication

Left by kRum1r0! at 10/18/2004 4:04 PM
Gravatar
Io sono talmente al sicuro con i server di consultingweb.it che sono impenetrabile...

# Ask Mr. Key: Un esempio di login in asp.net

Left by radicalmente at 6/29/2005 1:40 AM
Gravatar
In questo articolo si spiega come ottenere una login per mezzo di asp.net rispettando le più comuni norme di sicurezza

# Ask Mr. Key: Un esempio di login in asp.net

Left by Radicalmente at 10/21/2005 10:59 AM
Gravatar

# Ask Mr. Key: Un esempio di login in asp.net

Left by Radicalmente at 10/2/2006 12:18 AM
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Pendrive at 1/15/2008 2:51 PM
Gravatar
It’s very good article. Great site with very good look and perfect information.

Your comment:



 (will not be displayed)


 
 
 
Please add 8 and 8 and type the answer here:
 

Live Comment Preview:

 
«December»
SunMonTueWedThuFriSat
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456