[Owasp-turkey] ASP.NET'de önemli bir güvenlik açığı bulunmuş

Ferruh Mavituna ferruh at mavituna.com
Tue Sep 21 12:50:12 EDT 2010


Henuz piyasada adam gibi calisan bir exploit yok, calisan exploit olunca
webresource.axd uzerinden web.config'i indirmek mumkun olacakmis.

Ben ufak bir PoC yazdim ama sadece klasik IV + CBC kullanan encryptionlari
exploit edebiliyor, ASP.NET in kendi implemantasyonu biraz daha komplike
sanirim IV uretirken hash'leme vs. yapiyor, sahsen cok detayina inmeye
vaktim olmadi ama kisa surede ASP.NET'in kendi encryption ile calisan bir
exploit yazamadim.

Sanirim 1 ay icerisinde encrypted viewstate i okumaya/yazmaya izin veren
exploit cikar. web.config exploit'i cikarmi emin degili. Benim gordugum
kadariyla exploit etmek icin 2 ayri hata mesajini gormek gerekiyor, biri
"padding/cryptio" exception'i digeri de rasgele herhangi bir hata. O yuzden
hata mesajlarini custom'a cekince sorun cikmamasi lazim. Bunun bypass edecek
bir sey olabilir mi emin degilim, MS in su anki onerisini buna dayanarak
yapiliyor. Canberk'in gonderdigi exploitin calismasi icin  hata mesajlarinin
gozukmesi gerekiyor.

Ozetle su an ASP.NET icin exploit olmasa bile .NET ile yapilmis CBC kullanan
ve kullanicini encrypted datayi modife edebildigi tum uygulamalar da bu
guvenlik acigi var ve exploit edilebilir diyebiliriz.


2010/9/21 Canberk BOLAT <canberk.bolat at gmail.com>

> http://ekoparty.org/juliano-rizzo-2010.php
>
> Geçtiğimiz günlerde ekoparty'de tanıtıldı. POET isimli bir araçta
> yayınlanmış, demosunu izledim az once;
> http://www.youtube.com/watch?v=yghiC_U2RaM
>
> 21 Eylül 2010 15:08 tarihinde T. Terlemez <tterlemez at gmail.com> yazdı:
> > Merhaba
> >
> > ASP.NET'de şimdiye kadarki bütün sürümlerde var olan önemli bir
> > güvenlik açığı bulunmuş :
> >
> >
> http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
>
>
>
> --
> Canberk BOLAT
> Security Researcher
> http://twitter.com/cnbrkbolat
> http://cbolat.blogspot.com
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
.fm
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100921/308af610/attachment.html 


More information about the Owasp-turkey mailing list