Kulawe ASP .Net
- Computerworld,
- 18.10.2004
Microsoft poinformował, że w komponentach IIS odpowiedzialnych za obsługę ASP .Net wykryto lukę pozwalającą na odczytanie treści ze stron WWW, których nie powinno dać się odczytać bez uwierzytelnienia.
Microsoft poinformował, że w komponentach IIS odpowiedzialnych za obsługę ASP .Net wykryto lukę pozwalającą na odczytanie treści ze stron WWW, których nie powinno dać się odczytać bez uwierzytelnienia.
Sprawa ma związek z błędem w parsowaniu znaku backslash ("\") kodowanego także jako "%5c". URL zawierający znak "\" jest zabroniony w IIS, ponieważ daje potencjalnie możliwość odwołania do ścieżki systemu plików. Microsoft opublikował moduł URLSCAN, którego zainstalowanie pozwala wykryć żądanie dostępu do chronionych zasobów. Więcej szczegółów na stronie:http://www.microsoft.com/security/incident/aspnet.mspx .