===== Hoe check je of een website kwetsbaar is =====In
http://www.troyhunt.com/2010/09/do-you-trust-your-hosting-provider-and.html legt Troy Hunt uit hoe je vast kunt stellen of
jouw ISP waar je
jouw ASP.NET web-applicatie hebt gehost, de .NET patches al gedraaid heeft of niet, nl. door in je webbrowser als URL in te tikken:
http://mijn.website/WebResource.axd?d=zt87v2JeCPKYzqUfGEffpA2
Hierbij moet je natuurlijk "mijn.website" door de hostname van jouw website vervangen. De rest van de URL werkt prima, niks aan wijzigen. Lees Troy z'n page voor uitleg.
Ik heb het vandaag zelf getest op een ASP.NET website
voordat en
nadat ik een drietal .NET patches daarop geinstalleerd had. Welliswaar was
voor het patchen het "screen of death" niet
yellow (*), maar de foutmeldingen kwamen grotendeels overeen en met name de volgende tekst was zichtbaar:
Error: Padding is invalid and cannot be removed.
Thanks Microsoft, hoe makkelijk kun je het maken?
Na het patchen (aanvulling 23:50: hierbij waren geen reboots nodig!) verschijnen nog steeds foumeldingen, maar daarin is niets van crypto (zoals "rijndael", "encrypt", "decrypt" etc.) terug te vinden, en de error luidt nu:
Error: This is an invalid webresource request.
Open deur natuurlijk, op korte termijn zul je veel van dit soort pogingen (WebResource.axd en/of random cookies) terugvinden in je logs (van scriptkiddies en eventueel van klanten die zich zorgen maken over de beveiliging van jouw webshop).
(*) Info over "yellow screen of death":
http://dotnetslackers.com/articles/aspnet/ErrorLoggingModulesAndHandlers.aspx