Abo
  • Services:

Zugriffsbeschränkung in Microsofts ASP .NET leicht umgehbar

Sicherheitsleck in allen Versionen von ASP .NET unter Microsofts IIS

Durch eine leichte Abänderung einer URL lässt sich eine sonst zwingend erforderliche Autorisierungsabfrage von ASP .NET umgehen, so dass ein Angreifer unberechtigten Zugang auf womöglich vertrauliche Informationen erhält. Das Sicherheitsloch betrifft alle Versionen von ASP .NET unter Microsofts IIS - bislang steht noch kein Patch bereit, aber Administratoren können sich durch ein spezielles Modul für ASP. NET gegen etwaige Angriffe schützen.

Artikel veröffentlicht am ,

Das Sicherheitsloch in ASP .NET gestattet es einem Angreifer, durch Austausch der in URLs üblichen Schrägstriche nach vorne (Slash) durch einen Schrägstrich nach hinten (Backslash) gefolgt von einem Leerzeichen eine aktivierte Zugriffsbeschränkung zu umgehen. So können Angreifer auf geschützte Verzeichnisse auf einem Webserver zugreifen, sofern darauf eine anfällige Version von ASP .NET zum Einsatz kommt.

Offenbar sind alle Versionen von ASP .NET unter Microsofts IIS von dem Sicherheitsrisiko betroffen. Einen Patch will Microsoft bereitstellen, hat diesen aber noch nicht fertig. So lange kann man einen Angriff verhindern, indem man ein HTML-Modul für ASP .NET installiert, das die Umgehung der Zugriffsbeschränkung unterbindet.



Anzeige
Top-Angebote
  1. 39,98€ (Vergleichspreis ca. 72€)
  2. ab 519€ bei Alternate lieferbar
  3. (heute Samsung HT-J4500 5.1-Heimkino-System für 149€ statt 168,94€ im Vergleich)
  4. (heute u. a. Be quiet Silent Base 601 104,90€, Zyxel-Switch 44,99€)

rue25 03. Feb 2006

hier muss man unterscheiden in der autorisierung durch die config. in der config werden...

Oliver L. 08. Okt 2004

Ich kann's nur wiederholen (und hab extra noch mal für dich recheriert): http://silverstr...

Nicht Olli 08. Okt 2004

Leider völlig daneben, der Bug könnte schon länger genutzt worden sein, ist aber...

Oliver L. 08. Okt 2004

Also soweit ich gelesen habe (vor einigen Tagen, in einem anderen Newsletter), betrifft...

IhrWunschnameKo... 08. Okt 2004

Der ISS ist reine Realsatiere! Ich habe nie so viel Spaß mit einem System gehabt, wie mit...


Folgen Sie uns
       


Lenovo Thinkpad T480s - Test

Wir halten das Thinkpad T480s für eines der besten Business-Notebooks am Markt: Der 14-Zöller ist kompakt und recht leicht und weist dennoch viele Anschlüsse auf, zudem sind Speicher, SSD, Wi-Fi und Modem aufrüstbar.

Lenovo Thinkpad T480s - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

    •  /