Sicherheitsanfälligkeiten in .NET Framework können Erhöhung von Berechtigungen ermöglichen

durch Konflikte in Hashtabelle kann Denial-of-Service verursachen
Es liegt eine Sicherheitsanfälligkeit bezüglich Denial-of-Service vor, die dadurch verursacht wird, wie ASP.NET Framework speziell gestaltete Anforderungen verarbeitet, die eine Hashkollision verursachen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann eine kleine Anzahl speziell gestalteter Anforderungen an einen ASP.NET Server senden, wodurch die Leistung ausreichend herabgesetzt wird, um eine Denial-of-Service-Bedingung zu verursachen.

 

durch nicht sichere Umleitung der .NET-Formularauthentifizierung
Es liegt eine Sicherheitsanfälligkeit bzgl. Spoofing vor, die dadurch verursacht wird, wie .NET Framework während der Formularauthentifizierung Rückgabe-URLs überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen Benutzer ohne dessen Kenntnis zu einer Website des Angreifers umleiten. Der Angreifer kann dann einen Phishingangriff durchführen, um Informationen vom Benutzer zu erhalten, deren Offenlegung nicht beabsichtigt war. Diese Sicherheitsanfälligkeit ermöglicht dem Angreifer nicht, Code auszuführen oder Benutzerrechte direkt zu erhöhen, doch damit können weiterhin Benutzerinformationen kompromittiert werden, die privat bleiben sollten.

 

in ASP.NET durch Umgehung der Formularauthentifizierung
Es liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, die dadurch verursacht wird, wie .NET Framework Benutzer authentifiziert. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein nicht authentifizierter Angreifer ein Konto in der ASP.NET-Anwendung registrieren können und den vorhandenen Kontonamen eines Zielbenutzers kennen. Der Angreifer kann dann eine speziell gestaltete Webanforderung mit einem zuvor registrierten Konto erstellen, um Zugang zu jenem Konto zu erhalten. Der Angreifer kann dann im Kontext des Zielbenutzers Aktionen durchführen, einschließlich des Ausführens willkürlicher Befehle auf der Site.

 

in der Formularauthentifizierung von ASP.NET durch Zwischenspeicherung von Tickets
Es liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, die dadurch verursacht wird, wie ASP.NET Framework zwischengespeicherte Inhalte verarbeitet, wenn Formularauthentifizierung mit gleitender Gültigkeit verwendet wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Kontext des Zielbenutzers beliebige Aktionen auf der Site durchführen, einschließlich des Ausführens von willkürlichen Befehlen. In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er einen speziell gestaltete Link an den Benutzer sendet und ihn dazu verleitet, auf den Link zu klicken. Ein Angreifer kann Benutzer nicht zum Besuch einer bestimmten Website zwingen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken.

Hier fehlt ein Programm? Dann melden Sie uns die Softwareperle über das spezielle Anmeldeformular.
Danke sagt das WinTotal-Team.