Ethical Hacking ASP.NET

Csütörtökön lezajlott a harmadik Ethical Hacking konferencia, ám az első, amin volt .NET-es téma is. Íme egy rövid összefoglaló arról, hogy hány sebből vérzik az ASP.NET.

A jól működő védelmeket nem is írom, csak néhány fontosabb sebezhetőséget. Itt is kiemelném, hogy bár az ASP.NET-et vettük nagyító alá, hasonló sebezhetőségek más platformokban is megtalálhatóak.

Session kezelés:

  • Session cookie lehallgatás-visszaküldés
  • Sesssion fixation

Űrlap alapú hitelesítés:

  • Authentication cookie lehallgatás-visszaküldés

ViewState:

  • Betekintés (information disclosure)
  • Lehallgatás és visszaküldés

Eseménykezelés:

  • Eseménykezelő átugrása
  • Kikapcsolt (disabled) gomb megnyomása
  • Rejtett gomb megnyomása

One-click támadás.

Aki ott volt az előadáson, mindegyikre láthatott példát. Aki nem tudott eljönni, de érdeklődik, innen letöltheti a prezentációt és a videók is hamarosan kikerülnek a netre.

Készülőben van egy tesztelő eszköz, amellyel ASP.NET-es webhelyek sebezhetőségeit lehet automatizáltam vizsgálni, egyes funkcióit be is mutattam az előadáson. A CodePlexen fogom közreadni a közeljövőben, természetesen csak a védekezés lehetőségeit leíró cikksorozattal együtt.

A csütörtöki egyike volt azon kevés konferenciáknak, ahol az utolsó előadást is ugyanolyan éberségi állapotban ültem végig, mint az elsőt. Számomra nagyon hasznos volt. Nektek? Megérte eljönni? Hallottatok újdonságokat, érdekességeket?

 

Technorati-címkék: ,,

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s