Vulnerabilidade no ASP.NET

Amigos,

Semana passada foi divulgado uma vulnerabilidade no ASP.NET que pode comprometer o site. o ASP.NET usa criptografia para ocultar as informações confidenciais para proteger contra alguma violação. E a falha que surgiu trabalha justamente nisso, onde permite que o invasor consiga desencriptar e manipular esses dados.

Mas o que o invasor pode fazer com esse recurso? Parte da resposta depende do aplicativo ASP.NET que está sendo atacado. Por exemplo, se o aplicativo ASP.NET armazena informações confidenciais, como senhas ou strings de conexão do banco de dados no objeto ViewState, os dados podem ficar comprometidos. O objeto ViewState é criptografado e enviado para o cliente em uma variável de formulário oculto, portanto, é um destino possível para este ataque.

Existe um patch para isso? A resposta é não. Mas há como se proteger, ativando o Custom Errors do ASP.NET. Com essa opção habilitada, o erro que será apresentado na tela do cliente é um erro padrão ou você pode customizar. Portanto, habilite essa opção o quanto antes no IIS e/ou no web.config da sua aplicação.

Esta entrada foi publicada em IIS. Adicione o link permanente aos seus favoritos.

Uma resposta a Vulnerabilidade no ASP.NET

  1. Assis Santos disse:

    Enquanto não sai a correção da falha a Microsoft publicou um script(http://www.asp.net/media/782788/detectcustomerrorsdisabledv30.zip) em Visual Basic capaz de detectar a vulnerabilidade em aplicações ASP.Net, além de disponibilizar um fórum(http://forums.asp.net/1233.aspx) exclusivo para as perguntas referentes ao problema.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *