• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Обход аутентификации в ASP.Net

Главная Специалистам База уязвимостей Обход аутентификации в ASP.Net

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft .NET Framework (1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1, 4.0) Microsoft Updates (KB2656351, KB2656352, KB2656353, KB2656356, KB2656358, KB2656362, KB2657424, KB2698023, KB2742597, KB2833941, KB2836940, KB2836942, KB2858302, KB2861697, KB2901110, KB2901111, KB2901113, KB2901115, KB2931352, KB2931354, KB2931356, KB2931365, KB2937608, KB2972207, KB2972211, KB2972212, KB2972214, KB2972215, KB2973112, KB3037572, KB3037573, KB3037574, KB3037577, KB3037578, KB3037581, KB3098778)
Описание
Уязвимость, которая позволяет атакующему повысить свой уровень привилегий, существует в .NET Framework и связана с аутентификацией пользователей. Для эксплуатации этой уязвимости злоумышленник должен иметь возможность зарегистрировать учетную запись в приложении ASP.NET и знать имя учетной записи целевого пользователя. После этого злоумышленник сможет создать специальный веб-запрос, используя имя созданной учетной записи, чтобы получить доступ к целевой учетной записи. В случае успешной эксплуатации злоумышленник получит возможность выполнять любые действия в контексте целевого пользователя, включая выполнение произвольных команд на сайте.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-100
Ссылки
Источник: CVE
Наименование: CVE-2011-3416
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3416

MS (MS11-100): http://technet.microsoft.com/en-us/security/bulletin/MS11-100