Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Bug in Microsoft ".NET Form Authentication"

22. März 2012

Wie gerade auf Securityfocus verlinkt, gibt es anscheinend einen Bug irgendwo im ".NET"-Umfeld, der es erlaubt, entsprechend unsicher konfigurierte ".NET Form Authentication" zum redirecten von HTTP-Requests zu missbrauchen.

http://www.securityfocus.com/archive/1/522038: An Insecure Redirect vulnerability has been identified in the .NET Form Authentication - in the Redirect From Login mechanism. This vulnerability allows an attacker to craft links that contain redirects to malicious sites in the ReturnURL parameter.

Als nicht ".NET"-User koennen wir absolut nicht beurteilen, wie verbreitet das Nutzen dieser Forms in Default-Konfiguration ist - wer diese Technologie einsetzt, sollte jedenfalls den "EnableCrossAppRedirects"-Parameter in "web.config" checken.

URL-Redirection in dieser Art ist jetzt in den meisten Fällen kein gravierendes Security-Problem, wird aber oft am Rande von Phishing-Attacken und ähnlichem eingesetzt, vgl. auch den Eintrag bei wikipedia: http://en.wikipedia.org/wiki/Url_redirection#Manipulating_visitors

Autor: Robert Waldner

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2012/3/22 - 16:41:02
Haftungsausschluss / Datenschutzerklärung