Je nová chyba v ASP.NET opravdu nebezpečná?

Nově odhalená bezpečnostní chyba v ASP.NET může teoreticky umožnit útočníkům cross-site skriptování a útok pomocí vkládání skriptů.

Zranitelnost je způsobena nedostatečným ošetřením vstupu ve filtrování speciálních HTML znaků v bezpečnostních mechanizmech "Request Validation" a "HttpServerUtility.HtmlEncode". To může být zneužito například ke spuštění libovolného HTML a skriptového kódu útočníka. K úspěšnému zneužití je však nutné, aby kódování odezvy bylo nastaveno na národní ASCII kódovou stránku, což není výchozí nastavení.

Chyba byla potvrzena v Microsoft .NET Framework verze 1.1.4322.573.  Postiženy jsou rovněž .NET Framework version 1.0 (SP2 a dřívější) a 1.1 (SP1 a dřívější).

Řešením je nastavení kódování odezvy na Unicode (výchozí nastavení).

Zdroj: Secunia

Témata článku: Unicode, Nová chyba, Cross, Odezva, Framework, Chyba

Určitě si přečtěte

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

Včera | Stanislav Janů | 134


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji