Tárgyszó szerinti listázás: Security

Strong name mások szerelvényéhez

A minap az egyik projektünkben Excel 2003 kimenetet kellett gyártani, amihez az ExcelLibrary-t használtam. Ez egy olyan szabadon felhasználó osztálykönyvtár, amit épp DLL formában könnyű letölteni. Mikor azonban a saját forráskódunkba akartam beépíteni, az alábbi hibaüzenet fogadott. Tovább »

IIS ApplicationPoolIdentity beengedése az SQL Serverbe

Ha egy webhelyet az IIS-ben az ApplicationPoolIdentity nevében futtatunk és a webhely mögött Windows integrált hitelesítéssel működő SQL Server áll, akkor ezt a virtuális fiókot kell beengednünk az SQL Serverbe. Tovább »

Webszolgáltatás hívás kimenő IP címének beállítása

Ma egy olyan webszolgáltatást kellett meghívnom, ami előtt egy tűzfal csak bizonyos IP című kliensekről engedélyezi a hozzáférést. Ez normális esetben nem is szokott gondot okozni, most is megbeszéltem az ottani rendszergazdákkal, hogy milyen IP címről akarom küldeni a kérést, és ők készségesen lyukat ütöttek a tűzfalba. A nehezítést az jelentette, hogy a hívó épp egy szerver, aminek több IP címe van, és persze alapból nem arról ment ki a kérés, ahonnan én akartam. A kérdés tehát, hogy hogyan lehet megadni egy webszolgáltatás hívásnál a hívó IP címét? Tovább »

Kritikus 0day ASP.NET sebezhetőség és gyors védekezés

Ahogy korábban már írtam róla, két hacker elég komoly hibát fedezett fel, amely az ASP.NET-es alkalmazások által használt titkosítást érinti. Sajnos a sebezhetőség részleteit csak pénteken hozták nyilvánosságra, ráadásul egy kész eszközt is közreadtak a kihasználására, sőt előtte a Microsofttal sem közölték a pontos módszert, így most a rossz fiúknak két teljes napjuk van, mielőtt a legtöbb webhely gazdája észbe kap (micsoda “véletlen” időzítés). Fontos, hogy a hiba alapvetően az összes ASP.NET-es webhelyet érinti, legyen az egyedi fejlesztésű, vagy kész rendszer, DotNetNuke vagy SharePoint ugyanúgy borulhat. Az üzemeltetőknek gyorsan kell lépniük! Tovább »

Futtatási jog XML generálás Database projekthez

Ha Visual Studioban Database projektet használsz az alkalmazásod adatbázisának felépítéséhez, akkor ott XML-ben kell megadnod, hogy deploy-kor mely tárolteljárásokat ki futtathasson. Valahogy így. Tovább »

Csiripelő alkalmazás

A Twitter, a Messenger és a vuvuzela számomra egy kategória: mások által érthetetlen okokból imádott zajkeltő eszközök. Most az egyik projektünkben mégis azt kellett megoldanunk, hogy az alkalmazás időnként csiripeljen egyet a Twitteren. Tovább »

Managed Service Account vs. SQL Server

A Windows Server 2008 újdonságai közül az egyik kedvencem a Managed Service Accountok és a Virtual Accountok megjelenése. Persze ez nem egy látványos újdonság, talán ezért is nem szerepel óriási betűkkel kiemelve a What’s new oldalon, pedig üzemeltetők számára igen-igen hasznos. Persze csak azoknak, akik nem minden szolgáltatás Local System felhasználóval futtatnak. Tovább »

Facebook Like button XSS

A Facebook Like gombjának egy csomó előnye van. Az egyik például az, hogy mivel előbb-utóbb ott lesz minden weboldalon, ha esetleg valamilyen security bug van benne, akkor az szinte a teljes internetet érinteni fogja. Mint ahogyan érinti is. Tovább »

Ethical Hacking ASP.NET

Csütörtökön lezajlott a harmadik Ethical Hacking konferencia, ám az első, amin volt .NET-es téma is. Íme egy rövid összefoglaló arról, hogy hány sebből vérzik az ASP.NET. Tovább »

SharePoint Anonymous Access - képekben

Ha publikusan elérhetővé szeretnél tenni egy SharePoint site-ot, akkor technikailag három dolgot kell tenned. Tovább »

SQL admin felvétele utólag

Az SQL Server 2008 telepítője rákérdez, hogy mely felhasználóknak szeretnénk az adatbázis kiszolgálóban sysadmin jogokat adni. Ha a telepítés során ezen a képernyőn egy lezser Next-tel átsiklunk, akkor hiába fog elindulni a szolgáltatás, hiába lesz hozzá SQL Server Management Studionk, nem fogunk tudni kapcsolódni hozzá. Szerencsére van hátsó ajtó! Tovább »

Bejövő kérések szűrése IIS 7 alatt

Az IIS 6-ban az URL Scan bővítmény számos alkalmazást megcélzó buffer overrun jellegű támadás ellen nyújtott védelmet, melyek az URL-ek vagy az URL paraméterek (query string) hibás feldolgozását használták ki. Az IIS 7-ben a továbbfejlesztett, alapértelmezés szerint beépített és működő Request Filtering modul látja el ugyanezt a feladatot. Az IIS 7 Request Filtering modulja lehetővé teszi a beérkező kérésekre vonatkozóan bizonyos kényszerek meghatározását, amelyek segítségével megvédhetjük alkalmazásainkat a kérés rossz szándékú formázásával elért néhány tipikus támadási formától. Tovább »

Képregény a SmartScreen filterről

Még régebben futottam bele az alábbi oldalba, elég tanulságos volt. Hány embert ismertek, aki azonnal bedőlne neki és nincs olyan szoftver vagy beállítás a gépén, ami megvédené? Tovább »

Melyik oldal jön be bejelentkezés után?

Az ASP.NET Login vezérlőnek van egy DestinationPageUrl tulajdonsága, amellyel megadhatjuk annak az oldalnak a címét, ahova sikeres bejelentkezés után a vezérlő továbbdob. Ez szép is lenne, már ha működne. Tovább »

HTTPS, csak ha szeretnéd

Belépéshez kellett, de végül általánosan is felmerült: Hogyan lehet egy pillanatnyilag HTTP-n keresztül nézett oldalról HTTPS-en felküldeni az adatot (postbackelni). Úgy döntöttem, hogy az inkriminált gomb PostbackUrl-jét fogom HTTPS sémájúra átírni. Tovább »

SSL használata IIS 7 alatt

Alapértelmezés szerint a kliens és a webszerver közötti kommunikáció titkosítatlanul történik, amely lehetővé teszi az átküldött adatok lehallgatását. Ez különösen akkor kellemetlen, ha a böngésző és a webkiszolgáló között érzékeny adatok utaznak, például egy kitöltött űrlap adatai, felhasználónevek és jelszavak vagy éppen egy hitelesítéshez használt cookie, ugyanis egy támadó eltulajdoníthatja vagy felhasználhatja ezeket az információkat a kliens megszemélyesítésére vagy egy visszajátszásos támadásra. A megoldás a kommunikációs csatorna titkosítása, amely a Secure Sockets Layer (SSL) protokoll segítségével történhet. Tovább »

Hitelesítés és hozzáférés szabályozás az IIS 7-ben

Az Internet Information Services 7 számos újdonságot hordoz a hitelesítés (authentication) és a hozzáférés szabályozás (authorization) területén, melyek nagyban megkönnyítik a webkiszolgálót üzemeltető rendszergazdák életét. Tovább »

Lockdown Policy Prevents This Request

Az egyik webalkalmazásunkkal kapcsolatban több megkeresés érkezett, hogy a felhasználókat nagyon zavarja a sok tanúsítvány figyelmeztetés, ezért jó lenne a Root CA tanúsítványát közvetlenül letölthetővé tenni a bejelentkező oldalról. Fogtam hát a tanúsítványkiadó tanúsítványát .cer formátumban, felmásoltam a webszerverre, majd kissé meglepődve bámultam a böngészőben megjelenő 404 – Not Found hibaüzenetet. Tovább »

IdentityNotMappedException

Nem először sikerül belefutnom az alábbi kivételbe, szinte mindig valamilyen egyedi telepítő futtatása közben: “System.Security.Principal.IdentityNotMappedException: Nem lehet lefordítani néhány azonosítási hivatkozást, illetve egyet sem.” Na kösz, és ez mit jelent? Tovább »

Felhasználó utánzatok

ASP.NET-es fejlesztés közben gyakran előfordul, hogy egy olyan funkciót kell megvalósítanunk, amely felhasználói fiókhoz vagy szerepkörhöz kötött, de még nincs kész a projektünkben a regisztráció vagy a bejelentkezés oldal.Ilyenkor az egyik lehetőség a felhasználói adatbázis gyors összekattintgatása, de ha ezt nem tehetjük meg, akkor nincs más megoldás, mint saját Memebership- és Role providerek készítése, amelyek ugyanúgy bejelentkeztetik a felhasználót, de nem igényelnek adatbázist. Ez egyszerűbb, mint azt első hallásra gondolnánk. Tovább »

CryptographicException: Keyset does not exist

Korábban CardSpace használatakor futottam bele a fenti hibaüzenetbe, most egy IIS-ben hosztolt WCF szolgáltatás készítésekor jött elő. Elvesztettem volna a kulcsaimat? A problémát az okozza, hogy a web.config fájlban szerepel egy tanúsítvány hivatkozás a <serviceCertificate> ágban, de az IIS worker process felhasználói fiókjának, alapértelmezés szerint a Network Service fióknak, nincs joga hozzáférni a tanúsítványhoz. De hogy adok egy tanúsítványra olvasási jogot? Tovább »

System Center Remote Hacking Edition

A tegnapi System Center konferencia után jutott eszembe, hogy van egy csuda egyszerű módja annak, hogy az ember távoli rendszerfelügyeleti szoftverre tegyen szert, ráadásul teljesen ingyen! Sőt, a szoftverhez még egy távoli rendszergazda is jár, ő is szinte ingyen! Mindössze egy egyszerű weblapot kell készítenünk. Tovább »

Barátságos HTTPS átirányítás

Gyakori üzemeltetői feladat, hogy egy oldalt csak biztonságos HTTPS csatornán keresztül szeretnénk elérhetővé tenni. Sajnos nem minden üzemeltetőnek tűnik fel, hogy az is a feladat része, hogy az apró “s” betűt be nem gépelő felhasználókat barátságosan átirányítsuk a biztonságos címre: tegye fel a kezét, aki még nem látott 403.4 Forbidden: SSL is required to view this resource hibaüzenetet. Na ugye. Mennyivel szebb lenne, ha az alapértelmezett hibaüzenet helyett eljuttatnánk a felhasználót oda, ahova indult, csak éppen nem HTTP-n, hanem HTTPS-en keresztül. Tovább »

Tipikus ASP.NET hozzáférési szintek

Az ASP.NET-es erőforrások (például aspx oldalak) a kezdetek óta védhetőek web.config-ban elhelyezett deklaratív bejegyzésekkel. Az IIS7 megjelenése óta az ilyen jellegű deklaratív védelem minden webes erőforrásnak (például PNG állományoknak) is alapértelmezetten kijár. Tovább »

Request filteringgel a gonosz ellen

Az MSDN Kompetencia Központ honlapján megszaporodtak az olyan rossz indulatú webes kérések, amit szemmel láthatóan robotok küldenek, próbálva felderíteni a webhely által használt technológiákat, hogy kihasználhassák azok sebezhetőségeit. Itt az ideje, hogy megszabaduljunk tőlük. Tovább »

Microsoft Security Intelligence Report 1H08

Megjelent a Microsoft Security Intelligence Report ötödik kötete, amely a 2008. január és június között gyűjtött adatokat összesíti és elemzi. Nem különösebben szórakoztató olvasmány, de van benne néhány érdekesebb fejezet. Tovább »

ASP.NET Menu és a kifele mutató linkek

ASP.NET-ben a Menu vezérlő szuperül használható a weboldal menüjének megjelenítésére. Adatait tudja például SiteMap állományokból venni, iránya mélysége beállítható. Sőt ha bekapcsolod a securityTrimminget, akkor nem mutatja meg azokat a menüpontokat, melyek mögött található oldalakat nincs jogod megnézni. A pontos működési mechanizmusáról már volt szó korábban is. Tovább »

Mappa jogosultságok klónozása

Mindannyian számtalanszor hallottuk vagy olvastuk már, hogy a beállításokat, adatokat, naplófájlokat tartalmazó mappákat érdemes elmozgatni az alapértelmezett helyükről és célszerű áttenni őket másik partícióra. Ha a mappa létrehozása és az átirányítás beállítása után Access Denied hibaüzenetet kapunk, két lehetőségünk van: vagy kitaláljuk, hogy milyen ACL-eket kellene beállítani a mappára, vagy klónozzuk az egész hozzáférés szabályozási listát egy másik mappáról. Ez utóbbi sem megy mindig simán. Tovább »

Jogosultság-szabályozás SQL Server Analysis Servicesben - screencast

Azt vettem észre, hogy az SQL Server relációs adatmotorját ismerő és használó fejlesztők és üzemeltetők közül sokan fenntartásokkal kezelik az SQL Server Analysis Servicest. Pedig a termék jó, fejlesztők nagyon gyorsan összekattintgathatnak vele üzleti intelligencia megoldásokat és üzemeltetői szemmel sem egy kimondottan bonyolult termék. Kedvcsinálóként screencast sorozatot indítunk az SSAS-ről. Tovább »

Zermatt

Zermatt egy kisváros Svájc déli részén, mindössze tíz kilométerre az olasz határtól. A kb. 5500 fős település zsákfalu, 1620 méteres tengerszint feletti magasságban egy völgy végében, egy gleccser közelében fekszik. Érdekesség, hogy a tiszta levegő megóvása érdekében belső égésű motorokkal hajtott autók nem hajthatnak be a városba. Síparadicsom, csendes kisváros gyönyörű környezetben. Mi vezette a Microsoft fejlesztőit arra, hogy épp ezt a várost válasszák egy fejlesztői keretrendszer kódnevévé? Tovább »

Hullanak az IIS-ek

Az utóbbi időben egyre több olyan hír jelent meg a világhálón, amelyek szerint durva hiba lehet a Windows-ban, az IIS-ben vagy az SQL Serverben, mert sorra hullanak azok a szerverek, melyek ezeket használják. Április 17-én a Microsoft kiadott egy Security Advisory-t (951306), amely azonban nem írt arról, hogy pontosan mi a hiba oka, csak azt tette egyértelművé, hogy nincs patch, mi javítaná. Tovább »

MOSS 2007 és least privilege

A least privilege azon elvek közé tartozik, melyek követése nem egyszerű, különösen eleinte okoz némi fáradtságot, de hosszú távon biztosan megéri. Aki esetleg nem ismerné, annak röviden: ne légy admin, csak baj lehet belőle! Tökéletesen lehet levelezni, netezni, fejleszteni, debuggolni, doksit írni, olvasni, telefont szinkronizálni, CD-t írni - szinte mindent, mezei felhasználóként. Igaz, telepítéshez, üzemeltetéshez, driver debuggolásához néha elengedhetetlen, na de ki az, aki mást sem csinál, csak drivert ír és telepítget a gépén? Tovább »

Office 2007 SP1 slipstreaming

Közel egy évvel az Office 2007 RTM után végre megjelent hozzá az első javítócsomag. Nem mondom, hogy az Office 2007 annyira használhatatlan lenne RTM formájában, mint a Vista, de azért erre is ráfért végre a service pack. Tovább »

VS05-08 migráció: miért nem megy a virtualizáció?

Érdekes jelenség: van egy kódrészletem, ami tökéletesen megy, ha Visual Studio 2005 alatt létrehozott projektbe teszem bele, ám elszáll, ha Visual Studio 2008 alól próbálom használni. A kód a Program Files mappába próbál írni, így valahogy. Tovább »

A .NET Framework leghasználhatatlanabb osztálya

Ezennel szavazást indítok A .NET Framework leghasználhatatlanabb osztálya megtisztelő cím elnyerésére. A jelölteket a cikkhez kapcsolódó hozzászólások formájában tudjátok beküldeni. Tovább »

CD írás távolról

Délután úgy hagytam ott a tanszéki gépemet, hogy még egy VPC image-et tömörített, betettem egy üres lemezt az íróba, gondoltam mire hazaérek kész lesz és majd otthonról elindítom a DVD írást. Csak hogy miután remote desktoppal beléptem és elindítottam a Nerot, ezzel a barátságos hibaüzenettel fogadott. Tovább »