Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Bug in Microsoft ".NET Form Authentication"

22. März 2012

Wie gerade auf Securityfocus verlinkt, gibt es anscheinend einen Bug irgendwo im ".NET"-Umfeld, der es erlaubt, entsprechend unsicher konfigurierte ".NET Form Authentication" zum redirecten von HTTP-Requests zu missbrauchen.

http://www.securityfocus.com/archive/1/522038: An Insecure Redirect vulnerability has been identified in the .NET Form Authentication - in the Redirect From Login mechanism. This vulnerability allows an attacker to craft links that contain redirects to malicious sites in the ReturnURL parameter.

Als nicht ".NET"-User koennen wir absolut nicht beurteilen, wie verbreitet das Nutzen dieser Forms in Default-Konfiguration ist - wer diese Technologie einsetzt, sollte jedenfalls den "EnableCrossAppRedirects"-Parameter in "web.config" checken.

URL-Redirection in dieser Art ist jetzt in den meisten Fällen kein gravierendes Security-Problem, wird aber oft am Rande von Phishing-Attacken und ähnlichem eingesetzt, vgl. auch den Eintrag bei wikipedia: http://en.wikipedia.org/wiki/Url_redirection#Manipulating_visitors

Autor: Robert Waldner

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2012/3/22 - 16:41:02
Haftungsausschluss / Datenschutzerklärung