Jump to content

Σημαντικό : ASP.NET Security Vulnerability


nikolaosk
 Share

Recommended Posts

O ScottGu στο προσωπικό του blog, αναφέρει για ένα σοβαρό πρόβλημα (security threat-security vulnerability ) σχετικά με το ASP.Net.

 

Να σημειώσω ότι το πρόβλημα ασφάλειας αφορά όλες τις εκδόσεις του ASP.Net.

 

Ένας

κακόβουλος χρήστης μπορεί , εκμεταλλευόμενος την αδυναμία αυτή να

κατεβάσει αρχεία ( συμπεριλαμβανομένου και του web.config ) από ένα

ASP.Net site.

 

Είναι αναγκαίο άμεσα να εφαρμόσετε τα workarounds που αναφέρονται στο ίδιο post για να προστατέψετε τις asp.net εφαρμογές σας.

 

Το

workaround για τις εφαρμογές που έχουν υλοποιηθεί σε asp.net 1 έως το

version 3.0 είναι πιο απλό. Για τα asp.net sites που είναι σε

υλοποιημένα σε asp.net 3.5 SP1 και 4, υπάρχει μια

διαφορετική προσέγγιση για να λύσουμε το θέμα.

 

Link to comment
Share on other sites

Προσωπικά νομίζω ότι είναι πολυ φασαρία για το τίποτα.

Κάθε σοβαρός asp.net developer δεν αφήνει κλειστά τα custom errors ειδικά άμα έχει παρακολουθήσει σεμινάρια asp.net από την έκδοση 1.0 μιλάνε για αυτό. Επίσης όλοι οι IIS Admins αυτό το κλείνουν όπως και να έχει.

To συγκεκριμένο tag παίρνει 3 τιμές στο mode property

 

  

 

    

 

  

 

 

Mode=”On

Αυτό σημαίνει ότι αν χτυπήσει κάποιο unhandled exception θα εμφανιστεί η σελίδα που έχει ορισθεί στο defaultRedirect.

Mode=”Off”

Εδώ είσαι τελείως ξεβράκωτος και αυτό σημαίνει ότι ότι λάθος χτυπήσει θα εμφανιστεί μια σελίδα με όλες τις λεπτομέρειες για αυτό (εμφανίσει όλο το stacktrace property του exception). Αυτή η τιμή είναι μόνο για όσο κάνουμε development και είναι για εξυπηρέτηση μας όχι για την παραγωγή. Στη παραγωγή ΠΟΤΕ δεν την βάζουμε. Αλλιώς είναι σαν παρακαλάς τον Hacker του στέλνεις έτσι το μήνυμα: «Ανοίξαμε και σας περιμένουμε». 

Mode=”RemoteOnly” (default)

Με αυτό αν σκάσει κάποιο exception τότε στον hacker θα βγει ένα μήνυμα Server exception που δεν θα λέει τίποτα περισσότερο από να αλλάξει αν θέλει να δει το exception να αλλάξει το Mode σε On πράγμα που φυσικά δεν έχει πρόσβαση να το κάνει. Αν όμως είσαι ο admin του IIS και έχει φυσική πρόσβαση σε αυτόν και πας τοπικά και χτυπήσει το site σου και σου σκάσει θα δεις κανονικά το exception σαν να το είχες off. Αλλά αυτό δεν είναι πρόβλημα μιας και είσαι ο admin του IIS.

Αν μετά από όλα αυτά αυτό είναι security issue τι να πω. Ο Σκωτ καλά κάνει και το αναφέρει μιας και πρέπει να χτυπήσει το καμπανάκι σε μερικούς μερικούς. Από την άλλη όμως θα προλάβω μερικούς που θα πουν γιατί το άφησαν έτσι και η απάντηση μου είναι γιατί σαν developer θέλω να κάνω ευκολότερα την δουλειά μου. Αλλά ξέρω σαν υπεύθυνος που είμαι για αυτό που φτιάχνω ότι στην παραγωγή το κλείνω.

Link to comment
Share on other sites

Αφού το λέει ο κος Χατζηπαυλής, εγώ το μόνο που προσθέτω είναι...respect.

Απλά όμως όσοι δεν το είχατε δει τόσο επαγγελματικά και δεν έχετε κάποιο IDS μπροστά που θα το έκοβε έτσι κι αλλιώς, πάρτε τα μέτρα σας.

Τι να κάνουμε υπάρχουν και οι ....απρόσεκτοι.

Link to comment
Share on other sites

 Share

×
×
  • Create New...