Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Inyección de código en ASP.Net (Cross-Site-Scripting)
 
VSantivirus No. 1688 Año 9, sábado 19 de febrero de 2005

 Inyección de código en ASP.Net (Cross-Site-Scripting)
http://www.vsantivirus.com/vul-aspnet-xss-180205.htm

Por Angela Ruiz
angela@videosoft.net.uy

Múltiples vulnerabilidades del tipo Cross-Site-Scripting (XSS), han sido reportadas en Microsoft ASP.Net, las cuáles pueden ser explotadas para ejecutar código malicioso (HTML/Javascript), en el navegador del usuario.

ASP.Net es la nueva versión del tradicional ASP (Active Server Pages), lanzada en enero de 2002, y ampliamente utilizada por servidores de todo el mundo para la generación activa de páginas y aplicaciones Web.

El fallo permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios (cross-site scripting). Esto es válido para cualquier sitio web o para un archivo local.

El problema se produce cuando se manejan URLs especialmente modificadas para contener caracteres Unicode (conjunto de caracteres ASCII que utiliza dos bytes en lugar de uno para cada carácter). ASP.Net no filtra adecuadamente caracteres especiales utilizados en HTML (tales como '>', '<', y otros). Ello permite la inyección de código en parámetros URLs.


Productos afectados:

- Microsoft ASP.Net Framework versión 1.0
- Microsoft ASP.Net Framework versión 1.0 Service Pack 1
- Microsoft ASP.Net Framework versión 1.0 Service Pack 2
- Microsoft ASP.Net Framework versión 1.1
- Microsoft ASP.Net Framework versión 1.1 Service Pack 1

Aunque Microsoft habría sido avisado el 2 de agosto de 2004, aún con el último parche de seguridad para ASP.NET instalado (a la fecha el MS05-004), igual se produce esta vulnerabilidad.

El problema también afecta a implementaciones libres de .NET Framework de Mono Project:

- Mono, versión 1.0.5


Solución:

No existen soluciones oficiales al momento actual.

Se sugiere utilizar código Unicode solo para la salida en páginas ASP.Net.

Si no se utiliza Unicode, igual se aconseja filtrar el uso de caracteres extensos en cualquier fuente de datos no confiables (entradas de usuario, cabezales HTTP, etc.)


Créditos:

Andrey Rusyaev


Referencias:

Microsoft ASP.NET Multiple Cross Site Scripting Vulnerabilities
http://www.k-otik.com/english/advisories/2005/0182

XSS vulnerability in ASP.Net
http://it-project.ru/andir/docs/aspxvuln/aspxvuln.en.xml


Relacionados:

MS05-004 Validación de rutas en ASP.NET (887219)
http://www.vsantivirus.com/vulms05-004.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS