微軟在10月5日發布了What You Should Know About a Reported Vulnerability in Microsoft ASP.NET網頁以提供針對此安全性漏洞的對策。當前的對策主要是如KB887459所描述的那樣在Global.asax或其Code-Behind中在Application_BeginRequest中增加檢查
if (Request.Path.IndexOf('\\') >= 0 || System.IO.Path.GetFullPath(Request.PhysicalPath) != Request.PhysicalPath) { throw new HttpException(404, "not found"); }
顯然每個Application都需要有這樣的檢查以應對此安全性漏洞。微軟還會提供其他的對策,請關注What You Should Know About a Reported Vulnerability in Microsoft ASP.NET網頁更新。
對ASP.NET 2.0 Beta1,並沒有此漏洞而是得到404錯誤。
貼子以"現狀"提供且沒有任何擔保也沒有授予任何權利
發表於 Thursday, October 07, 2004 1:53 AM
評論
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 8:49 AM TommyWOo
http://localhost/WebApplication2%5Csecret.aspx
試過了,不行。IE 版本問題?
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 9:40 AM R2
啊,好可怕!幸好我用Beta1
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 9:43 AM R2
難道微軟的這種Form認證這麼脆弱??
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 10:09 AM wonge
Windows 2003下不會出現這種錯誤:http://localhost/WebApplication2%5Csecret.aspx ?
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 10:12 AM 孫展波
我是使用XPSP2的OS及其帶的IE6驗證的。
從What You Should Know About a Reported Vulnerability in Microsoft ASP.NET網頁,Windows 2003 Server也有這個問題。這是ASP.NET的Bug而不是OS的Bug.
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 10:44 AM Lostinet
可怕的漏洞啊~~~
解決方案可以做個簡單的IHttpModule,把它註冊到GAC和machine.config中.
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 1:21 PM Flashtoy
我按方法試了.怎麼沒有這個問題.
嚇的我半死!
http://www.creva.org.cn/creva/orgshow.aspx
# re: ASP.NET Form Authentication安全性漏洞及對策 10/7/2004 6:19 PM TommyWOo
樓上的朋友,,我想到了。。
