Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Bug in Microsoft ".NET Form Authentication"

22. März 2012

Wie gerade auf Securityfocus verlinkt, gibt es anscheinend einen Bug irgendwo im ".NET"-Umfeld, der es erlaubt, entsprechend unsicher konfigurierte ".NET Form Authentication" zum redirecten von HTTP-Requests zu missbrauchen.

http://www.securityfocus.com/archive/1/522038: An Insecure Redirect vulnerability has been identified in the .NET Form Authentication - in the Redirect From Login mechanism. This vulnerability allows an attacker to craft links that contain redirects to malicious sites in the ReturnURL parameter.

Als nicht ".NET"-User koennen wir absolut nicht beurteilen, wie verbreitet das Nutzen dieser Forms in Default-Konfiguration ist - wer diese Technologie einsetzt, sollte jedenfalls den "EnableCrossAppRedirects"-Parameter in "web.config" checken.

URL-Redirection in dieser Art ist jetzt in den meisten Fällen kein gravierendes Security-Problem, wird aber oft am Rande von Phishing-Attacken und ähnlichem eingesetzt, vgl. auch den Eintrag bei wikipedia: http://en.wikipedia.org/wiki/Url_redirection#Manipulating_visitors

Autor: Robert Waldner

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Cisco FXOS und NX-OS Software - Patches verfügbar
21. Juni 2018 | Beschreibung Cisco ...
Security Advisory für Microsoft Exchange Server
20. Juni 2018 | Beschreibung | Microsoft ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
NIS Update
15. Mai 2018 | Am 9. ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2012/3/22 - 16:41:02
Haftungsausschluss / Datenschutzerklärung