Microsoft onderzoekt lek in ASP.NET
Microsoft onderzoekt een pas ontdekt security lek in haar ASP.NET technologie waardoor aanvallers met wachtwoord beschermde gedeeltes van een website, door alleen het wijzigen van een URL, kunnen bereiken. Het gaat om een fout in de manier waarop ASP.NET URLs verwerkt, een proces dat bekend staat canonicalisatie. Volgens een advisory van Microsoft kan een aanvaller speciaal gemaakt requests naar de server sturen en zo beveiligde content zonder de juiste "credentials" bekijken. Er is nog geen fix voor het probleem beschikbaar, maar Microsoft geeft in deze advisory wel tips zodat gebruikers zich kunnen beschermen. (eWeek)
advies, zonder dat er tegelijk een fix wordt uitgebracht.
Dit is werkelijk schookend... Microsoft heeft nog nooit
zoiets gedaan. Hulde!
mocht er wel al een fix zijn. Valt me zowieso op dat er vaak
gewoon bugs op de meest kritische plaatsen zitten bij MS,
dat kom je bij vrijwel geen enkele andere software
leverancier in zulke vormen tegen...
(even verder lezen waar het over gaat voordat je roept dat dit niets met IE te
maken heeft)
http://ntbugtraq.ntadvice.com/default.asp?pid=36&sid=1&A2=ind0409&L=ntbugtraq&F=P&S=&P=9884
Dat 'speciaal gemaakt request' blijkt erg simple:
vervang de slash-jes in het url door backslash-jes.
IIS draait deze naar slash-jes, maar de security
implementatie doet dat niet, waardoor het matchen van de
paths van files die beschermt dienen (geconfigureerd in
web.config) en de paths van het file systeem niet lukt.
Hilarisch! Hacken voor dummies :)
Zie je dat je IE moet gebruiken :-)
(even verder lezen waar het over gaat voordat je roept dat
dit niets met IE te
maken heeft)
Dit heeft niets met IE te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
