segunda-feira, setembro 20, 2010

Vulnerabilidades em Aplicações ASP.Net

A Microsoft divulgou na sexta feira passada uma alerta para uma vulnerabilidade que pode afetar todas as aplicações desenvolvidas com ASP.NET.

O boletim não dá muitas informações, mas alguns detalhes podem ser vistos aqui e aqui. De uma forma muito simplificada, um atacante pode quebrar a criptografia usada nos cookies e no View State do ASP.NET através de dicas fornecidas involuntariamente pelo ASP.NET nos códigos de erro.

Uma forma simples de se proteger contra este ataque, enquanto a Microsoft não libera uma correção, é redirecionar todos os erros para uma mesma página, através da configuração "Custom Errors". Isto é feito colocando no arquivo Web.config algo como:
<system.web>
<customErrors mode="On" defaultRedirect="PaginaErro.htm" />
</system.web>
É fundamental não redirecionar um ou mais erros para outras páginas.

Fiquei sabendo desta notícia pelo blog do Ricardo Oneda.

Nenhum comentário: