Fup-cookies i ASP.Net giver administratoradgang

OPDATERET: Et hul i .Nets webmiljø gør det muligt at skabe fup-cookies som i værste tilfælde kan give administrator-adgang.

Sikkerhedsforskere har fundet et hul i Microsofts ASP.Net-teknologi. Det skriver Application Development Trends.

En fejl i en krypteringsmekanisme, som beskytter cookies der benyttes i forbindelse med Form-autentifikation, gør det muligt skabe fup-cookies, som kan benyttes til at snyde med autentifikationen i en webapplikation.

Forskerne har udviklet et værktøj, der gentagne gange kan ændre en sådan cookie og ved at undersøge de fejlmeddelelser, som kommer tilbage fra serveren kan værktøjet finde den nøgle, der er benyttet til at kryptere cookien med.

Procesessen skulle være fuldstændig pålidelig og tage mindre end 50 minutter for alle websites.

Når nøglen kendes, kan angribere skape fup-cookies. Hvis sitet har valgt at indlejre rolle-information i sikkerheds-cookien kan angribere opnå administrator-privilegier på sitet.

Der er mere information om hvordan hullet stoppes hos Microsoft.

Opdatering d. 22/9
En tidligere udgave af artiklen viderebragte på baggrund af de oplysninger der forelå torsdag d. 16. at hullet kan lukkes ved skifte krypteringsalgoritme. Det er ikke tilfældet. Se i stedet Microsofts dokumentation (link ovenfor) for information om, hvordan problemet løses.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere