Aprire un buco nella Forms Authentication

E pensare che abbiamo giusto ieri parlato di "ASP .NET Security".... Ledisendgentlemen, in collaborazione con quel buontempone del Barbieri e grazie ad un thread apparso su Sourceforge, ecco come bucare la Forms Authentication di ASP .NET: scaricate il progetto dimostrativo e pubblicatelo su una macchina IIS5 (IIS6 sembra essere immune) _senza_ URLScan (che come testato da Lorenzo offre protezione da questo bug). Provate a questo punto a fare browsing della pagina securepage.aspx contenuta nel folder wannabesecure:

http://miosito/wannabesecure/securepage.aspx

Come prevedibile, verrete rediretti alla pagina di login. Provate ora:

http://miosito/wannabesecure\securepage.aspx

Se usate IE, il browser efefttuerà un rewrite dello slash "malizioso"ed ancora una volta vedrete la pagina di login (con Mozilla avrete invece già fatto bingo). Provate allora a fare un "encoding (da) manuale":

http://miosito/wannabesecure%5Csecurepage.aspx

BINGO! Forms Authentication bucata e pagina (non più così) sicura in bella vista. Il sospetto è che ci sia un errore di path canonicalization nello httpmodule di ASP .NET...

Technorati Tags:

posted @ venerdì 1 ottobre 2004 16.44

Print

Comments on this entry:

# URLScan... il nostro salvatore.

Left by Lorenzo Barbieri @ UGIblogs! at 01/10/2004 16.51
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Alessandro Perilli at 01/10/2004 16.53
Gravatar
Veramente notevole...
Posso usarlo in conferenza se dichiaro il copyright? :)

Alessandro

# URLScan... il nostro salvatore.

Left by Lorenzo Barbieri @ UGIblogs! at 01/10/2004 17.04
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Andrea Boschin at 01/10/2004 17.28
Gravatar
Pazzesco... che ne dice MS?

# re: Aprire un buco nella Forms Authentication

Left by Michele Bernardi at 01/10/2004 17.35
Gravatar
Aaaarrrggghhhh!!!
Noi abbiamo un'applicazione con dati MOLTO sensibili protetti da forms authentication! Per fortuna per ora é pubblicata solo su un server Win2003, ma che fare in futuro?
Cos'é URLScan? Dove lo trovo?
Grazie Andrea!

# re: Aprire un buco nella Forms Authentication

Left by Lorenzo Barbieri at 01/10/2004 17.54
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Aldo at 01/10/2004 23.23
Gravatar
Non sono certo di aver capito. Se su IIS5 si riproduce e su II6 no, perche' parli di baco su ASP.NET? Mi verrebbe logico attribuirlo a IIS, no?

Bye,
A

# re: Aprire un buco nella Forms Authentication

Left by Aldo at 01/10/2004 23.29
Gravatar
Non sono certo di aver capito. Se su IIS5 si riproduce e su II6 no, perche' parli di baco su ASP.NET? Mi verrebbe logico attribuirlo a IIS, o no?

Bye,
A

# re: Aprire un buco nella Forms Authentication

Left by Lorenzo Barbieri at 02/10/2004 1.09
Gravatar
IIS 6 include URLScan, quindi è protetto.
Non è un problema di IIS se riguarda una feature specifica di ASP.NET.

# Problema del giorno: Bug nella Forms Authentication....la verit

Left by Roberto Brunetti at 02/10/2004 12.06
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Roberto Brunetti at 02/10/2004 12.09
Gravatar
Dopo aver letto questo post, ho scritto un paio di considerazioni in merito a questo problema. Solo che alla fine è venuta fuori una cosa un po' troppo lunga e l'ho inserita in un post sul mio blog (http://blogs.devleap.com/rob/archive/2004/10/02/1803.aspx). Fondamentalmente il problema è più ampio, e non riguarda la Forms Authentication, ma bensi la lettura dei tag location del web.config e dei vari web.config delle sottodirectory di un'applicaizone. Nel mio post ho inserito anche due possibili soluzioni per risolvere il problema a monte.

# Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Left by Lorenzo Barbieri @ UGIblogs! at 02/10/2004 12.10
Gravatar

# ASP.NET Exploit: Sempre a proposito del tema caldo del weekend :-) ...

Left by Il Blog di Paolo Pialorsi at 02/10/2004 16.07
Gravatar

# ASP.NET Exploit: Sempre a proposito del tema caldo del weekend :-) ...

Left by Il Blog di Paolo Pialorsi at 02/10/2004 16.09
Gravatar

# E io che compravo la cucina nuova...

Left by Alessandro Scardova blog at 03/10/2004 1.02
Gravatar

# Aprire un buco nella Forms Authentication

Left by Pingback/TrackBack at 03/10/2004 10.15
Gravatar
Aprire un buco nella Forms Authentication

# Sicurezza, .NET e Bush...

Left by LastKnight .NET Blog at 04/10/2004 16.35
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by Willy at 05/10/2004 14.36
Gravatar
Se si vieta all'anonymous di accedere alle risorse, ciò non accade.
<authorization>
<deny users="?"/>
</authorization>

# Aprire un buco nella Forms Authentication

Left by Pingback/TrackBack at 05/10/2004 15.40
Gravatar
Aprire un buco nella Forms Authentication

# re: Aprire un buco nella Forms Authentication

Left by seiken at 18/10/2004 15.52
Gravatar
i dati sensibili e'meglio tenerli sotto al materasso

# re: Aprire un buco nella Forms Authentication

Left by kRum1r0! at 18/10/2004 15.55
Gravatar
seiken non hai il coraggio di imparare come proteggere al meglio i dati sensibili, sei poco simpatico e professionale.

# re: Aprire un buco nella Forms Authentication

Left by seiken at 18/10/2004 15.58
Gravatar
tu invece krumiro hai questo coraggio? mi dai l'url del tuo sito così faccio una prova per vedere se hai imparato bene?

# re: Aprire un buco nella Forms Authentication

Left by kRum1r0! at 18/10/2004 16.04
Gravatar
Io sono talmente al sicuro con i server di consultingweb.it che sono impenetrabile...

# Ask Mr. Key: Un esempio di login in asp.net

Left by radicalmente at 29/06/2005 1.40
Gravatar
In questo articolo si spiega come ottenere una login per mezzo di asp.net rispettando le più comuni norme di sicurezza

# Ask Mr. Key: Un esempio di login in asp.net

Left by Radicalmente at 21/10/2005 10.59
Gravatar

# Ask Mr. Key: Un esempio di login in asp.net

Left by Radicalmente at 02/10/2006 0.18
Gravatar

# re: Aprire un buco nella Forms Authentication

Left by kral oyun at 08/09/2007 16.25
Gravatar
i dati sensibili e'meglio tenerli sotto al materasso

# re: Aprire un buco nella Forms Authentication

Left by Pendrive at 15/01/2008 14.51
Gravatar
It’s very good article. Great site with very good look and perfect information.

Your comment:



 (will not be displayed)


 
 
 
Please add 7 and 8 and type the answer here:
 

Live Comment Preview:

 
«luglio»
domlunmarmergiovensab
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456