熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> ASP編程 >> 正文

Form Authentication安全漏洞及對策

2013-11-15 12:53:29  來源: ASP編程 

  在NTBugtraq的郵件列表上首先報告的Security bug in NET Forms Authentication適用於ASPNET (RTM SP SP SP)和ASPNET (RTM SP)

       當Form Authentication被使用時匿名用戶在試圖訪問被保護的頁面如x時會被redirect到登錄網頁如x?ReturnUrl=%fWebApplication%fsecretaspx

       但是如果使用Mozilla匿名用戶可以這樣未經認證就訪問被保護的頁面x對IE可以使用%C達到類似的效果x

       微軟在日發布了What You Should Know About a Reported Vulnerability in Microsoft ASPNET網頁以提供針對此安全漏洞的對策當前的對策主要是如KB所描述的那樣在Globalasax或其CodeBehind中在Application_BeginRequest中增加檢查

       if (RequestPathIndexOf(\\) >= || SystemIOPathGetFullPath(RequestPhysicalPath) != RequestPhysicalPath) { throw new HttpException( not found); }顯然每個Application都需要有這樣的檢查以應對此安全漏洞微軟還會提供其他的對策請關注What You Should Know About a Reported Vulnerability in Microsoft ASPNET網頁更新

       對ASPNET Beta並沒有此漏洞而是得到錯誤


From:http://tw.wingwit.com/Article/program/ASP/201311/21825.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.