Security Lab

Обход механизмов защиты от XSS и SQL injction нападений в ASP.NET

Дата публикации:15.09.2003
Всего просмотров:2146
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:

Уязвимые версии: ASP.NET 1.x

Описание: Уязвимость обнаружена в ASP.NET. Удаленный атакующий может обойти механизмы защиты "Request Validation".

Механизм защиты "Request Validation" используется для защиты Web приложения против XSS и SQL injction нападений. Удаленный атакующий может внедрить NULL байт, чтобы выполнить произвольный контент, включенный в злонамеренный тэг. Проблема связанна с тем, что некоторые браузеры (напр. Internet Explorer), игнорируют NULL байт.

Пример/Эксплоит:

<%00SCRIPT>alert(document.cookie)</SCRIPT>

URL производителя:http://www.microsoft.com

Решение:

Не доверяйте встроенным механизмам защиты от XSS и SQL injection нападений.