Ho visto che ne hanno parlato un po' tutti in giro, ognuno dicendo la sua... Non lo faccio anch'io perchè sarebbe un ripetere quello che hai detto tu e che hanno detto gli altri.

Voglio solamente sottolineare, a mio avviso, l'importanza di scrivere codice ed inserire meccanismi ridondanti nelle applicazioni quando si parla di sicurezza. Credo che la soluzione per fare sonni relativamente tranquilli, al di là dell'installazione delle patch di sicurezza, sia quella (come dici tu) di pensare ben oltre le apparenze.

Un codice robusto è un codice che può dare buone garanzie sulla sicurezza. Pensare in grande aiuta a realizzare applicazioni robuste e sicure. Se non altro, si rende la vita difficile a chi cerca di sfruttare eventuali exploit e/o bachi.

Ciao, Ricky.

Ing. Riccardo Golia
Microsoft MVP ASP.NET/IIS
ASPItalia.com Content Manager
http://blogs.aspitalia.com/rickyvr
http://ricky.aspitalia.com
http://www.riccardogolia.it
3.121 messaggi dal 29 ottobre 2001
Contributi | Blog
Sono pienamente d'accordo sia con Daniele sia con rickyvr. Ma voglio solo aggiungere un mio pensiero: ma non è allarmismo esagerato quello che si legge tra i vari sviluppatori nei vari blog e/o pagine in rete?

Mi spiego meglio: ho dato un'occhiata in giro ai vari siti e server che ospitano pagine asp.net e che utilizzano l'autenticazione Forms. Non ne ho trovato uno che venisse bucato da quel trucco del "\" o "%5C". E sto parlando anche di server con servizi di hosting economici - mi piacerebbe sapere se anche Aruba è protetto, purtroppo non ho potuto accertarmene. Ma forse la mia è stata solo fortuna!

Che forse il problema di sicurezza del framework sia protetto da altre strutture di sicurezza dagli amministratori dei server che, senza tanti problemi, per la sicurezza interna, avevano già installato da tempo i vari tool come UrlScan?

Che forse il tanto conclamato bug esista nella maggioranza dei casi solo sui computer degli sviluppatori?
205 messaggi dal 05 novembre 2001
www.blueproject.it
Siamo sicuri che IIS 6.0 è immune?

Sul sito Microsoft è riportato:

Software Affected
? ASP.NET running on Windows 2000
? ASP.NET running on Windows 2000 Server
? ASP.NET running on Windows XP Professional
? ASP.NET running on Windows Server 2003

Come faccio a testare la mia applicazione per questa vulnerabilità?

Qualcuno ha provato ad installare il
Microsoft ASP.NET ValidatePath Module?

Funziona?
Ciao.

Luca's cat ;-)
lucascat ha scritto:
Siamo sicuri che IIS 6.0 è immune?


quasi quasi mi offendo per questa domanda
btw, ASP.NET è soggetto a questo problema sulle piattaforme elencate, perchè ASP.NET non è detto che giri in IIS (vedi cassini). se però usi IIS 6 o IIS 5 + UrlScan, allora sei immune perchè ad ASP.NET non arriva l'URL "corretto", bloccato da IIS 6 o UrlScan.

Come faccio a testare la mia applicazione per questa vulnerabilità?


fai una pagina protetta con Forms Auth e ci metti \\ nel Path, con Mozilla. se te la lascia vedere, allora non sei immune.

Qualcuno ha provato ad installare il
Microsoft ASP.NET ValidatePath Module?


non contiene nient'altro che il codice che è menzionato nella pagina, compilato e con un installer che lo registra in GAC e modifica il machine.config.

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
205 messaggi dal 05 novembre 2001
www.blueproject.it
Come faccio a testare la mia applicazione per questa vulnerabilità?


fai una pagina protetta con Forms Auth e ci metti \\ nel Path, con Mozilla. se te la lascia vedere, allora non sei immune.


Non ho capito. Dove devo mettere \\ ?

Luca's cat ;-)
nell'url.
anzichè usare http://sito/path/pagina.aspx, usa http://sito/path\\pagina.aspx.

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
205 messaggi dal 05 novembre 2001
www.blueproject.it
Sono immune.!
Grazie.

Luca's cat ;-)
se usi IIS 6 o IIS 5 + UrlScan saresti dovuto stare tranquillo a priori

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.