I forum Ricerca FAQ
Fai una domanda
Ultimo messaggio 1 2 3
E' un commento a questo focuson
Daniele Bochicchio
Daniele Bochicchio
il 21 settembre 2010 alle 13:56
15.593 messaggi dal 31 agosto 1998
Contributi
daniele.aspitalia.com | Blog
ah, grazie per la segnalazione
Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
RispondiQuoting
giangi_77
giangi_77
il 23 settembre 2010 alle 11:37
678 messaggi dal 12 maggio 2001
www.idioteca.it
ragazzi, ho sistemato tutti i miei siti, ma ho un dubbio...lanciando lo script di test, mi segnala a rischio anche wwwroot. Ma io non uso mai quella cartella per i miei siti e al suo interno non ho nessun web.config. Ignoro il rischio di attacco o devo procedere comunque in qualche modo?
Ho lo stesso rischio per i miei webservice?
grazie ancora per l'avviso comunque :-)
ciao
RispondiQuoting
Daniele Bochicchio
Daniele Bochicchio
il 23 settembre 2010 alle 16:54
15.593 messaggi dal 31 agosto 1998
Contributi
daniele.aspitalia.com | Blog
giangi_77 wrote:
Ignoro il rischio di attacco o devo procedere comunque in qualche modo? Ho lo stesso rischio per i miei webservice?

quel tool cerca i web.config nel percorso, quindi se ne hai uno e comunque non lo usi, te lo segnala comunque.
.
Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
RispondiQuoting
giangi_77
giangi_77
il 24 settembre 2010 alle 10:26
678 messaggi dal 12 maggio 2001
www.idioteca.it
ok Daniele, ma ad esempio, in wwwroot non ho web.config e lo segnala lo stesso.
Quello che vorrei capire è se ignorare l'avviso per questi casi tanto non correrei nessun rischio o fare qualcosa per risolvere il problema.
ciao
RispondiQuoting
Daniele Bochicchio
Daniele Bochicchio
il 24 settembre 2010 alle 11:22
15.593 messaggi dal 31 agosto 1998
Contributi
daniele.aspitalia.com | Blog
non ho guardato il codice, ma probabile che non trovi il web.config e/o magari in IIS hai configurato quel sito (quello di default) e l'hai stoppato.
Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
RispondiQuoting
gyppo
gyppo
il 24 settembre 2010 alle 11:59
213 messaggi dal 25 settembre 2006
Grazie mille per la segnalazione.
Nella mia applicazione ho implementato una classe che deriva da System.Web.UI.Page e tutte le pagine del sito derivano da questa. Ho eseguito l'override dell'evento OnError nel quale eseguo un Response.Redirect ad una pagina custom di errore. Nel web config ho solo <customErrors mode="RemoteOnly">
Sapreste dirmi se anche in questo caso sono esposto alla vulnerabilità?
Grazie.
RispondiQuoting
chiccosimo
chiccosimo
il 24 settembre 2010 alle 12:06
2.198 messaggi dal 30 novembre 2001
gyppo ha scritto:
Grazie mille per la segnalazione.
Nella mia applicazione ho implementato una classe che deriva da System.Web.UI.Page e tutte le pagine del sito derivano da questa. Ho eseguito l'override dell'evento OnError nel quale eseguo un Response.Redirect ad una pagina custom di errore. Nel web config ho solo <customErrors mode="RemoteOnly">
Sapreste dirmi se anche in questo caso sono esposto alla vulnerabilità?
Grazie.


si, devi inserire anche la pagina di errore dentro il web.config, se poi utlizzi lo script segnalato dentro l'articolo cercherà tutti i web.config soggetti a tale vulnerabilità.
RispondiQuoting
Verce84
Verce84
l'11 novembre 2010 alle 09:41
226 messaggi dal 08 ottobre 2010
Scusate, ma in che modo il ritardo col quale viene effettuato il redirect potrebbe essere sfruttato per un attacco?
RispondiQuoting
1 2 3

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.