Je nová chyba v ASP.NET opravdu nebezpečná?

Nově odhalená bezpečnostní chyba v ASP.NET může teoreticky umožnit útočníkům cross-site skriptování a útok pomocí vkládání skriptů.

Zranitelnost je způsobena nedostatečným ošetřením vstupu ve filtrování speciálních HTML znaků v bezpečnostních mechanizmech "Request Validation" a "HttpServerUtility.HtmlEncode". To může být zneužito například ke spuštění libovolného HTML a skriptového kódu útočníka. K úspěšnému zneužití je však nutné, aby kódování odezvy bylo nastaveno na národní ASCII kódovou stránku, což není výchozí nastavení.

Chyba byla potvrzena v Microsoft .NET Framework verze 1.1.4322.573.  Postiženy jsou rovněž .NET Framework version 1.0 (SP2 a dřívější) a 1.1 (SP1 a dřívější).

Řešením je nastavení kódování odezvy na Unicode (výchozí nastavení).

Zdroj: Secunia

Diskuze (2) Další článek: Intel představuje nové procesory Pentium 4

Témata článku: Unicode, Framework, Nebe, Cross, ASP, Chyba, Nová chyba, Odezva

Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky