22.03.2012 16:41
Bug in Microsoft ".NET Form Authentication"
Wie gerade auf Securityfocus verlinkt, gibt es anscheinend einen Bug irgendwo im ".NET"-Umfeld, der es erlaubt, entsprechend unsicher konfigurierte ".NET Form Authentication" zum redirecten von HTTP-Requests zu missbrauchen.http://www.securityfocus.com/archive/1/522038: An Insecure Redirect vulnerability has been identified in the .NET Form Authentication - in the Redirect From Login mechanism. This vulnerability allows an attacker to craft links that contain redirects to malicious sites in the ReturnURL parameter.Als nicht ".NET"-User koennen wir absolut nicht beurteilen, wie verbreitet das Nutzen dieser Forms in Default-Konfiguration ist - wer diese Technologie einsetzt, sollte jedenfalls den
"EnableCrossAppRedirects"-Parameter in
"web.config"checken.URL-Redirection in dieser Art ist jetzt in den meisten Fällen kein gravierendes Security-Problem, wird aber oft am Rande von Phishing-Attacken und ähnlichem eingesetzt, vgl. auch den Eintrag bei wikipedia: http://en.wikipedia.org/wiki/Url_redirection#Manipulating_visitorsAutor: Robert Waldner