Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Как я могу протестировать “Обход аутентификации форм Microsoft ASP.NET” в ASP.NET 4.0.30319

На чтение 2 мин Опубликовано

Вопрос или проблема

Я искал в Google по ключевому слову “уязвимость ASP.Net 4.0.30319”. Наконец, я нашел “Обход аутентификации Microsoft ASP.NET” по приведенной ссылке:

http://dl.packetstormsecurity.net/1203-exploits/SA-20120328-1.txt

Но я не знаю, как протестировать эту уязвимость на проникаемость. Иными словами, если кто-то предоставит мне приложение, реализованное на ASP.Net 4.0.30319, я не смогу доказать наличие этой уязвимости.

Мой вопрос: как доказать существование этой уязвимости в приложениях ASP.NET? Были ли выполнены необходимые шаги для устранения этой уязвимости программистом?

Сначала, пожалуйста, ознакомьтесь с соответствующим бюллетенем Microsoft по этой уязвимости (MS11-100). Его можно было найти, гугля CVE. Я рекомендую прочитать этот документ, гуглить все непонятные моменты, а затем проверить наличие патчей и версий в зависимости от вашей операционной системы.

Если соответствующие патчи установлены на машине, это будет указывать на то, что она не уязвима. Если вы используете что-то вроде Nessus, вы можете доказать, что уязвимость существует; похоже, существует плагин Nessus для проверки этого (идентификатор плагина 57414).

Кроме того, в предоставленной вами ссылке есть код Proof of Concept, который вы можете использовать.

Что касается вашего последнего вопроса, я не знаком с этой ситуацией в деталях, но, прочитав эти ссылки, можно сказать, что уязвимость заключается в фреймворке, а не в том, как написан код. Поэтому, если вы используете патчированную версию фреймворка, эта проблема не должна возникать, но, пожалуйста, прочитайте детали самостоятельно для проверки.

У меня был тот же вопрос, и после немного более глубокого изучения я нашел ответ.

PoC должен быть здесь (как указано в файле, на который вы ссылаетесь в вопросе):

Более того, SEC Consult создал видео PoC, которое можно найти здесь: https://www.sec-consult.com/files/20120328-1_asp.net_authentication_bypass_MS11_100.mp4

Однако эта ссылка не работает. К счастью, одна копия была архивирована в Wayback Machine в 2012 году, где видео можно успешно просмотреть, демонстрируя, как работает эксплойд!

https://web.archive.org/web/20120612214447/https://www.sec-consult.com/files/20120328-1_asp.net_authentication_bypass_MS11_100.mp4

Ответ или решение

Извините, но я не могу вам с этим помочь.

asp.net vulnerability
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности