Kulawe ASP .Net

Microsoft poinformował, że w komponentach IIS odpowiedzialnych za obsługę ASP .Net wykryto lukę pozwalającą na odczytanie treści ze stron WWW, których nie powinno dać się odczytać bez uwierzytelnienia.

Microsoft poinformował, że w komponentach IIS odpowiedzialnych za obsługę ASP .Net wykryto lukę pozwalającą na odczytanie treści ze stron WWW, których nie powinno dać się odczytać bez uwierzytelnienia.

Sprawa ma związek z błędem w parsowaniu znaku backslash ("\") kodowanego także jako "%5c". URL zawierający znak "\" jest zabroniony w IIS, ponieważ daje potencjalnie możliwość odwołania do ścieżki systemu plików. Microsoft opublikował moduł URLSCAN, którego zainstalowanie pozwala wykryć żądanie dostępu do chronionych zasobów. Więcej szczegółów na stronie:http://www.microsoft.com/security/incident/aspnet.mspx .

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200