una-al-dia (13/09/2003) Vulnerabilidad en validación de peticiones en ASP.NET de Microsoft

-
Hispasec - una-al-día 13/09/2003
Todos los días una noticia de seguridad www.hispasec.com
-

Vulnerabilidad en validación de peticiones en ASP.NET de Microsoft


ASP.NET es una colección de tecnologías de Microsoft destinadas a
ayudar a los desarrolladores a construir aplicaciones web. Se ha
descubierto en ésta una vulnerabilidad que puede ser explotada
por usuarios maliciosos para esquivar el mecanismo de seguridad
"Request Validation".

Este mecanismo de validación de peticiones, nuevo en la versión 1.1
de ASP.NET, teóricamente sirve como protección a la hora de aceptar
valores de controles, de tal manera que puede servir como primer
bastión de defensa contra posibles ataques de tipo Cross-Site
Scripting o inyección de código SQL.

El problema consiste en que permite que se puedan introducir etiquetas
restringidas con un byte nulo. Esto es un problema debido a que
algunos navegadores (Internet Explorer, de la misma compañía sin ir
más lejos) ignora esos bytes nulos cuando está comprobando las
entradas, así que puede provocarse la ejecución del contenido de esas
entradas teóricamente restringidas.

Un ejemplo para comprobar el alcance del problema sería el siguiente:
<%00script>alert("¡Sorpresa!")</script>

Obviamente, esta es una prueba inocua, pero al igual que se puede
optar por mostrar un inocente mensaje en un dialogo, se puede
introducir un contenido más elaborado que nos permita comprometer la
seguridad del sitio web al que se está accediendo.

Si bien es buena idea la inclusión de mecanismos de seguridad como del
que se ha hablado aquí, a la vista de problemas como este, siempre es
recomendable realizar una comprobación interna más exaustiva de las
entradas que se van a utilizar las aplicaciones web.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1784/comentar

Más información:

Microsoft ASP.NET Request Validation Null Byte Filter Bypass Vulnerability
http://www.securityfocus.com/bid/8562

Vulnerabilidad en el componente ASP.NET de Microsoft
http://www.hispasec.com/unaaldia/1320

Curso de seguridad .NET
http://www.hispasec.com/unaaldia/1591

Julio Canto

-
Hispasec - una-al-día 13/09/2003
Todos los días una noticia de seguridad www.hispasec.com
-

Vulnerabilidad en validación de peticiones en ASP.NET de Microsoft


ASP.NET es una colección de tecnologías de Microsoft destinadas a
ayudar a los desarrolladores a construir aplicaciones web. Se ha
descubierto en ésta una vulnerabilidad que puede ser explotada
por usuarios maliciosos para esquivar el mecanismo de seguridad
"Request Validation".

Este mecanismo de validación de peticiones, nuevo en la versión 1.1
de ASP.NET, teóricamente sirve como protección a la hora de aceptar
valores de controles, de tal manera que puede servir como primer
bastión de defensa contra posibles ataques de tipo Cross-Site
Scripting o inyección de código SQL.

El problema consiste en que permite que se puedan introducir etiquetas
restringidas con un byte nulo. Esto es un problema debido a que
algunos navegadores (Internet Explorer, de la misma compañía sin ir
más lejos) ignora esos bytes nulos cuando está comprobando las
entradas, así que puede provocarse la ejecución del contenido de esas
entradas teóricamente restringidas.

Un ejemplo para comprobar el alcance del problema sería el siguiente:
<%00script>alert("¡Sorpresa!")</script>

Obviamente, esta es una prueba inocua, pero al igual que se puede
optar por mostrar un inocente mensaje en un dialogo, se puede
introducir un contenido más elaborado que nos permita comprometer la
seguridad del sitio web al que se está accediendo.

Si bien es buena idea la inclusión de mecanismos de seguridad como del
que se ha hablado aquí, a la vista de problemas como este, siempre es
recomendable realizar una comprobación interna más exaustiva de las
entradas que se van a utilizar las aplicaciones web.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1784/comentar

Más información:

Microsoft ASP.NET Request Validation Null Byte Filter Bypass Vulnerability
http://www.securityfocus.com/bid/8562

Vulnerabilidad en el componente ASP.NET de Microsoft
http://www.hispasec.com/unaaldia/1320

Curso de seguridad .NET
http://www.hispasec.com/unaaldia/1591

Julio Canto