CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

pnr Nybegynder

23. september 2010 - 14:45 Der er 12 kommentarer og
1 løsning

spørgsmål til ASP.NET Security Vulnerability i asp.net 2.0

Jeg har en masse sites i asp.net 2.0 som i defaultRedirect redirecter til en aspx side for at opsamle evt. fejl. det skulle i forbindelse med det ny fundne sikkerhedhul, ikke være sikkert at gøre mere i 2.0. Hvordan kan man så opsamle fejl forsvarligt uden at skulle lave for meget om?

Synes godt om

aaberg Nybegynder

23. september 2010 - 14:52 #1

Hvilket sikkerhedshuld er det du refererer til? Har du et link til en artikkel e.l.?

Synes godt om

arne_v Ekspert

23. september 2010 - 15:09 #2

http://adtmag.com/articles/2010/09/14/aspnet-security-hack.aspx
http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

Synes godt om

arne_v Ekspert

23. september 2010 - 15:10 #3

Hvis du redirecter alle errors til samme side er du OK.

Ellers har du et problem indtil MS releaser patch.

Synes godt om

madand Nybegynder

23. september 2010 - 15:13 #4

Taget fra ScottGu's Side:

Enabling the Workaround on ASP.NET V1.0 to V3.5:
If you are using ASP.NET 1.0, ASP.NET 1.1, ASP.NET 2.0, or ASP.NET 3.5 then you should follow the below steps to enable <customErrors> and map all errors to a single error page:

1) Edit your ASP.NET Application's root Web.Config file. If the file doesn't exist, then create one in the root directory of the application.

2) Create or modify the <customErrors> section of the web.config file to have the below settings:

<configuration>

<system.web>

<customErrors mode="On" defaultRedirect="~/error.html" />

</system.web>

</configuration>

Enabling the Workaround on ASP.NET V3.5 SP1 and ASP.NET 4.0

If you are using ASP.NET 3.5 SP1 or ASP.NET 4.0 then you should follow the below steps to enable <customErrors> and map all errors to a single error page:

1) Edit your ASP.NET Application's root Web.Config file. If the file doesn't exist, then create one in the root directory of the application.

2) Create or modify the <customErrors> section of the web.config file to have the below settings. Note the use of redirectMode="ResponseRewrite" with .NET 3.5 SP1 and .NET 4.0:

<configuration>

<system.web>

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />

</system.web>

</configuration>
3) You can then add an Error.aspx to your application that contains an appropriate error page of your choosing (containing whatever content you like). This file will be displayed anytime an error occurs within the web application.

4) We recommend adding the below code to the Page_Load() server event handler within the Error.aspx file to add a random, small sleep delay. This will help to further obfuscate errors.

Synes godt om

pnr Nybegynder

23. september 2010 - 15:25 #5

Hej alle

og mange tak for jeres kommentare!

Jeg redirecter til samme fejlside for alle fejl. men der undre mig at der i eksemplet for 2.0 på ScottGu's side linkes til en html fil, mens der der for 4.0 linkes til en aspx fil?

Jeg har iøvrigt kørt det VB script som de har lavet på min webserver, og der melder den fejl hvis jeg linker til en aspx fil, men den siger ok, hvis jeg linker til en html fil.

Synes godt om

pnr Nybegynder

25. september 2010 - 07:58 #6

Er der mere hjælp at hente her ?-)

Synes godt om

keysersoze Guru

25. september 2010 - 10:36 #7

Forskellen på de to eksempler, udover at du skal have en ekstra attribut på din customErrors-node, er at i 3.5 SP1 og 4.0 anbefales det at indlægge ydeligere kode på fejlsiden - se punkt 4 under "Enabling the Workaround on ASP.NET V3.5 SP1 and ASP.NET 4.0". Du kan altså fint have en aspx-side i første eksempel hvis det er det du har behov for.

Synes godt om

arne_v Ekspert

25. september 2010 - 17:27 #8

Set fra security synsvinklen mener jeg at det er ligegyldigt hvad du redirecter til - det skal bare være det samme der sendes til client uanset hvad.

Synes godt om

pnr Nybegynder

25. september 2010 - 19:56 #9

Det undre mig bare at det script som microsoft har udviklet til at tjekke en webserver med, skriver en advarsel ved de sites der linker til en aspx fil, mens dem der linker til en html fil er ok.

Synes godt om

keysersoze Guru

26. september 2010 - 22:39 #10

har de sites med en aspx-fil også implementeret anbefalingen?

Synes godt om

arne_v Ekspert

28. september 2010 - 19:26 #11

http://blogs.technet.com/b/msrc/archive/2010/09/27/out-of-band-release-to-address-microsoft-security-advisory-2416728.aspx

Synes godt om

pnr Nybegynder

29. september 2010 - 14:02 #12

Tak for jeres indlæg,smid nogle svar så er der point!

Synes godt om

arne_v Ekspert

29. september 2010 - 14:34 #13

svar fra mig

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra ASP.NET kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
valgte i checkboks og comboboks opdater gui og backend Af keepy i ASP.NET	0	01/10/202318:39	-
Webservice Af SommerFyr i ASP.NET	19	11/05/202313:43	31/05/202315:08
ASP:Image og JPG/PDF Af TV47 i ASP.NET	4	25/03/202318:49	31/03/202310:24
www til non-www og HTTPS Af KOH i ASP.NET	2	16/03/202312:31	22/03/202310:19
Window.Open og passing af parameter Af TV47 i ASP.NET	1	14/07/202215:22	20/08/202213:03

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS