[Owasp-turkey] ASP.NET'de önemli bir güvenlik açığı bulunmuş

cb canberk.bolat at gmail.com
Tue Sep 21 14:50:58 EDT 2010


Ferruh abinin dediği doğru, sanırım MS'in açıklamasında da
belirtiliyordu custom error'ların kullanılması. Birde exploit çok fazla
istek yaptığı için videoda yanlış hatırlamıyorsam 36000 küsürdü
abartıyoda olabilirim ama yani exploitin çalıştığı ip büyük ihtimal
arada ban falan yiyebilir. Birde yine padding yöntemiyle ilk oracle
padding exploit yayınlandığında çekilmiş bir demo daha var onda da
captcha kodunu kırıyorlardı. Kriptografinin web güvenliğini bu kadar
etkileyeceğini hiç düşünmemiştim.

Ferruh Mavituna wrote:
> Henuz piyasada adam gibi calisan bir exploit yok, calisan exploit olunca
> webresource.axd uzerinden web.config'i indirmek mumkun olacakmis.
> 
> Ben ufak bir PoC yazdim ama sadece klasik IV + CBC kullanan
> encryptionlari exploit edebiliyor, ASP.NET <http://ASP.NET> in kendi
> implemantasyonu biraz daha komplike sanirim IV uretirken hash'leme vs.
> yapiyor, sahsen cok detayina inmeye vaktim olmadi ama kisa surede
> ASP.NET <http://ASP.NET>'in kendi encryption ile calisan bir exploit
> yazamadim.
> 
> Sanirim 1 ay icerisinde encrypted viewstate i okumaya/yazmaya izin veren
> exploit cikar. web.config exploit'i cikarmi emin degili. Benim gordugum
> kadariyla exploit etmek icin 2 ayri hata mesajini gormek gerekiyor, biri
> "padding/cryptio" exception'i digeri de rasgele herhangi bir hata. O
> yuzden hata mesajlarini custom'a cekince sorun cikmamasi lazim. Bunun
> bypass edecek bir sey olabilir mi emin degilim, MS in su anki onerisini
> buna dayanarak yapiliyor. Canberk'in gonderdigi exploitin calismasi icin
>  hata mesajlarinin gozukmesi gerekiyor.
> 
> Ozetle su an ASP.NET <http://ASP.NET> icin exploit olmasa bile .NET ile
> yapilmis CBC kullanan ve kullanicini encrypted datayi modife edebildigi
> tum uygulamalar da bu guvenlik acigi var ve exploit edilebilir diyebiliriz.
> 
> 
> 2010/9/21 Canberk BOLAT <canberk.bolat at gmail.com
> <mailto:canberk.bolat at gmail.com>>
> 
>     http://ekoparty.org/juliano-rizzo-2010.php
> 
>     Geçtiğimiz günlerde ekoparty'de tanıtıldı. POET isimli bir araçta
>     yayınlanmış, demosunu izledim az once;
>     http://www.youtube.com/watch?v=yghiC_U2RaM
> 
>     21 Eylül 2010 15:08 tarihinde T. Terlemez <tterlemez at gmail.com
>     <mailto:tterlemez at gmail.com>> yazdı:
>     > Merhaba
>     >
>     > ASP.NET <http://ASP.NET>'de şimdiye kadarki bütün sürümlerde var
>     olan önemli bir
>     > güvenlik açığı bulunmuş :
>     >
>     >
>     http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
>     > _______________________________________________
>     > Owasp-turkey mailing list
>     > Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>     > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>     >
> 
> 
> 
>     --
>     Canberk BOLAT
>     Security Researcher
>     http://twitter.com/cnbrkbolat
>     http://cbolat.blogspot.com
>     _______________________________________________
>     Owasp-turkey mailing list
>     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
> 
> 
> 
> 
> -- 
> .fm
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey

--
Canberk BOLAT
Security Researcher
http://twitter.com/cnbrkbolat
http://cbolat.blogspot.com


More information about the Owasp-turkey mailing list