Sicherheitsleck bei ASP.Net-Sites
8. Oktober 2004
Durch eine Manipulation des URL-Strings ist es verhältnismässig einfach möglich, auf passwortgeschützte Sites zuzugreifen, die auf ASP.Net basieren. Wie Microsoft bestätigt, liegt der Fehler in der Art und Weise, wie ASP.Net URL-Anweisungen verarbeitet. Der Softwarekonzern hat zwar noch keinen Patch veröffentlicht, zeigt in einem Advisory aber Mittel und Wege auf, wie sich ASP-Webseiten dennoch gegen unerlaubte Zugriffe schützen lassen.
Webentwicklern wird darin geraten, ihre Sites um einige VB-Script-Codezeilen zu erweitern, die in den übergebenen URLs unerlaubte Zeichen erkennen, womit nicht authorisierte Zugriffe verhindert werden sollen. Diese zusätzliche Validierung soll allerdings einen - wenn auch nur geringen - Performance-Nachteil mit sich bringen. (IW)
Webentwicklern wird darin geraten, ihre Sites um einige VB-Script-Codezeilen zu erweitern, die in den übergebenen URLs unerlaubte Zeichen erkennen, womit nicht authorisierte Zugriffe verhindert werden sollen. Diese zusätzliche Validierung soll allerdings einen - wenn auch nur geringen - Performance-Nachteil mit sich bringen. (IW)
Artikel kommentieren
