Je nová chyba v ASP.NET opravdu nebezpečná?

Nově odhalená bezpečnostní chyba v ASP.NET může teoreticky umožnit útočníkům cross-site skriptování a útok pomocí vkládání skriptů.

Zranitelnost je způsobena nedostatečným ošetřením vstupu ve filtrování speciálních HTML znaků v bezpečnostních mechanizmech "Request Validation" a "HttpServerUtility.HtmlEncode". To může být zneužito například ke spuštění libovolného HTML a skriptového kódu útočníka. K úspěšnému zneužití je však nutné, aby kódování odezvy bylo nastaveno na národní ASCII kódovou stránku, což není výchozí nastavení.

Chyba byla potvrzena v Microsoft .NET Framework verze 1.1.4322.573.  Postiženy jsou rovněž .NET Framework version 1.0 (SP2 a dřívější) a 1.1 (SP1 a dřívější).

Řešením je nastavení kódování odezvy na Unicode (výchozí nastavení).

Zdroj: Secunia

Témata článku: Unicode, Chyba, Cross, Framework, Odezva, Nová chyba

Určitě si přečtěte


Aktuální číslo časopisu Computer

26 procesorů v důkladném testu

Zhodnotili jsme 18 bezdrátových reproduktorů

Jak fungují cash back služby?

Pohlídejte své děti na internetu