Sono pienamente d'accordo sia con Daniele sia con rickyvr. Ma voglio solo aggiungere un mio pensiero: ma non è allarmismo esagerato quello che si legge tra i vari sviluppatori nei vari blog e/o pagine in rete?

Mi spiego meglio: ho dato un'occhiata in giro ai vari siti e server che ospitano pagine asp.net e che utilizzano l'autenticazione Forms. Non ne ho trovato uno che venisse bucato da quel trucco del "\" o "%5C". E sto parlando anche di server con servizi di hosting economici - mi piacerebbe sapere se anche Aruba è protetto, purtroppo non ho potuto accertarmene. Ma forse la mia è stata solo fortuna!

Che forse il problema di sicurezza del framework sia protetto da altre strutture di sicurezza dagli amministratori dei server che, senza tanti problemi, per la sicurezza interna, avevano già installato da tempo i vari tool come UrlScan?

Che forse il tanto conclamato bug esista nella maggioranza dei casi solo sui computer degli sviluppatori?

lucascat ha scritto:

Siamo sicuri che IIS 6.0 è immune?

quasi quasi mi offendo per questa domanda
btw, ASP.NET è soggetto a questo problema sulle piattaforme elencate, perchè ASP.NET non è detto che giri in IIS (vedi cassini). se però usi IIS 6 o IIS 5 + UrlScan, allora sei immune perchè ad ASP.NET non arriva l'URL "corretto", bloccato da IIS 6 o UrlScan.

Come faccio a testare la mia applicazione per questa vulnerabilità?

fai una pagina protetta con Forms Auth e ci metti \\ nel Path, con Mozilla. se te la lascia vedere, allora non sei immune.

Qualcuno ha provato ad installare il
Microsoft ASP.NET ValidatePath Module?

non contiene nient'altro che il codice che è menzionato nella pagina, compilato e con un installer che lo registra in GAC e modifica il machine.config.

nell'url.
anzichè usare http://sito/path/pagina.aspx, usa http://sito/path\\pagina.aspx.

se usi IIS 6 o IIS 5 + UrlScan saresti dovuto stare tranquillo a priori