Sicherheitsleck II: ASP.Net
Ein Fehler in Microsofts ASP.Net-Komponenten ermöglicht den Zugriff auf Webseiten, die eigentlich passwortgeschützt wären.
8. Oktober 2004
Durch eine Manipulation des URL-Strings ist es verhältnismässig einfach möglich, auf passwortgeschützte Sites zuzugreifen, die auf ASP.Net basieren. Wie Microsoft bestätigt, liegt der Fehler in der Art und Weise, wie ASP.Net URL-Anweisungen verarbeitet. Der Softwarekonzern hat zwar noch keinen Patch veröffentlicht, zeigt in einem Advisory aber Mittel und Wege auf, wie sich ASP-Webseiten dennoch gegen unerlaubte Zugriffe schützen lassen. Webentwicklern wird darin geraten, ihre Sites um einige VB-Script-Codezeilen zu erweitern, die in den übergebenen URLs unerlaubte Zeichen erkennen, womit nicht authorisierte Zugriffe verhindert werden sollen. Diese zusätzliche Validierung soll allerdings einen - wenn auch nur geringen - Performance-Nachteil mit sich bringen.
(rd)
Artikel kommentieren
