Ethical Hacking ASP.NET

Csütörtökön lezajlott a harmadik Ethical Hacking konferencia, ám az első, amin volt .NET-es téma is. Íme egy rövid összefoglaló arról, hogy hány sebből vérzik az ASP.NET.

A jól működő védelmeket nem is írom, csak néhány fontosabb sebezhetőséget. Itt is kiemelném, hogy bár az ASP.NET-et vettük nagyító alá, hasonló sebezhetőségek más platformokban is megtalálhatóak.

Session kezelés:

  • Session cookie lehallgatás-visszaküldés
  • Sesssion fixation

Űrlap alapú hitelesítés:

  • Authentication cookie lehallgatás-visszaküldés

ViewState:

  • Betekintés (information disclosure)
  • Lehallgatás és visszaküldés

Eseménykezelés:

  • Eseménykezelő átugrása
  • Kikapcsolt (disabled) gomb megnyomása
  • Rejtett gomb megnyomása

One-click támadás.

Aki ott volt az előadáson, mindegyikre láthatott példát. Aki nem tudott eljönni, de érdeklődik, innen letöltheti a prezentációt és a videók is hamarosan kikerülnek a netre.

Készülőben van egy tesztelő eszköz, amellyel ASP.NET-es webhelyek sebezhetőségeit lehet automatizáltam vizsgálni, egyes funkcióit be is mutattam az előadáson. A CodePlexen fogom közreadni a közeljövőben, természetesen csak a védekezés lehetőségeit leíró cikksorozattal együtt.

A csütörtöki egyike volt azon kevés konferenciáknak, ahol az utolsó előadást is ugyanolyan éberségi állapotban ültem végig, mint az elsőt. Számomra nagyon hasznos volt. Nektek? Megérte eljönni? Hallottatok újdonságokat, érdekességeket?
pdf ASP.NET es a biztonsag (Balassy Gyorgy) v06.pdf (1232 kB)


Balássy György (MS RD, ASP.NET MVP, MCTS)

Balássy György (MS RD, ASP.NET MVP, MCTS) Villamosmérnök, a BME Automatizálási és Alkalmazott Informatikai Tanszékén webportálok fejlesztését oktatja. 2000 óta foglalkozik a Microsoft .NET platformjával, melynek meghonosításában jelentős szerepet vállalt előadóként, konzulensként és A .NET Framework és programozása című könyv társszerzőjeként. Az MSDN Kompetencia Központon belül a Portál Technológiák Csoport vezetője, szakterülete web alapú rendszerek fejlesztése és üzemeltetése. 2004-ben Magyarországon elsőként kapta meg a Most Valuable Professional címet, majd 2005 óta a Microsoft magyarországi regionális igazgatója. Publikációi a Technet Magazinban, az MSDN Kompetencia Központ honlapján és szakmai blogjában olvashatóak.
2010.05.02. 17:25:28 | Permalink | Hozzászólások: 0 | Tárgyszavak: ,


  • Tipikus ASP.NET hozzáférési szintek

    Dávid Zoltán Az ASP.NET-es erőforrások (például aspx oldalak) a kezdetek óta védhetőek web.config-ban elhelyezett deklaratív bejegyzésekkel. Az IIS7 megjelenése óta az ilyen jellegű deklaratív védelem minden webes erőforrásnak (például PNG állományoknak) is alapértelmezetten kijár. Tovább »

  • Letölthető lesz a .NET Framework forráskódja

    Balássy György (MS RD, ASP.NET MVP, MCTS) Nagyon kellemes érzés tud lenni, amikor az ember mások előtt kap meg információkat, de ugyanakkor nagyon bosszantó is tud lenni, hogy az NDA miatt nem mondhatja el senkinek :( Az szintén bosszantó, ha arra kell várni, hogy valaki más hivatalosan lelője a poént, mint ahogy történt most is Scott Guthrie blogjában :( Tovább »


Írja meg Ön is véleményét!


Hozzászólásokat csak regisztrált, bejelentkezett felhasználóktól tudunk elfogadni!

Hozzászólások