Ranjivost u ASP.NET-u
Kao da nam nije bilo dovoljno zanimljivo uz probleme sa OpenX-om , pojavio se dodatni problem koji ovaj put samo affecta Windows strojeve i .NET aplikacije.
Što je u biti ta “ranjivost”?
Potencijalni napadač ima mogucnost da requesta i downloada fileove unutar asp.net aplikacije kao što je naprimjer web.config file u kojem se skoro uvijek nalazi connection string za spajanje na bazu, neki passwordi, itd.
Uz gore navedeno, napadač također ima mogucnost da decrypta podatke koji se inače kriptirani šalju klijentu ( npr. ViewState data unutar neke stranice ).
Da li će Microsoft izdati neku zakrpu za ovaj problem???
Da, Microsoft već radi na update-u za ASP.NET, te čim završe temeljito testiranje će ponuditi update za download koristeći Windows Update servis.
Dok službeni update ne bude izdan, postoji par workarounda koji će zaštiti Vašu web aplikaciju. Ovi workaroundi su privremeno rješenje dok ne izađe update, te neće biti potrebno ih applyati nakon što serveri budu updateani.