Microsoft onderzoekt lek in ASP.NET
Microsoft onderzoekt een pas ontdekt security lek in haar ASP.NET technologie waardoor aanvallers met wachtwoord beschermde gedeeltes van een website, door alleen het wijzigen van een URL, kunnen bereiken. Het gaat om een fout in de manier waarop ASP.NET URLs verwerkt, een proces dat bekend staat canonicalisatie. Volgens een advisory van Microsoft kan een aanvaller speciaal gemaakt requests naar de server sturen en zo beveiligde content zonder de juiste "credentials" bekijken. Er is nog geen fix voor het probleem beschikbaar, maar Microsoft geeft in deze advisory wel tips zodat gebruikers zich kunnen beschermen. (eWeek)
advies, zonder dat er tegelijk een fix wordt uitgebracht.
Dit is werkelijk schookend... Microsoft heeft nog nooit
zoiets gedaan. Hulde!
mocht er wel al een fix zijn. Valt me zowieso op dat er vaak
gewoon bugs op de meest kritische plaatsen zitten bij MS,
dat kom je bij vrijwel geen enkele andere software
leverancier in zulke vormen tegen...
(even verder lezen waar het over gaat voordat je roept dat dit niets met IE te
maken heeft)
http://ntbugtraq.ntadvice.com/default.asp?pid=36&sid=1&A2=ind0409&L=ntbugtraq&F=P&S=&P=9884
Dat 'speciaal gemaakt request' blijkt erg simple:
vervang de slash-jes in het url door backslash-jes.
IIS draait deze naar slash-jes, maar de security
implementatie doet dat niet, waardoor het matchen van de
paths van files die beschermt dienen (geconfigureerd in
web.config) en de paths van het file systeem niet lukt.
Hilarisch! Hacken voor dummies :)
Zie je dat je IE moet gebruiken :-)
(even verder lezen waar het over gaat voordat je roept dat
dit niets met IE te
maken heeft)
Dit heeft niets met IE te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.