Vulnerabilità corretta nell'AutoPostBack di ASP.NET 2.0
Dalla RTM è la seconda vulnerabilità che viene corretta in ASP.NET 2.0. La prima era ancora meno grave, dato che riguardava la protezione delle estensioni non ancora mappate sotto la directory /App_Data/.
Comunque, questa tappa una vulnerabilità di tipo XSS (Cross Site Scripting) sull'AutoPostBack. Ora, non essendo così diffusi i controlli che ne fanno uso (ed essendo opzionale), ovviamente il livello di gravità di questa vulnerabilità non è altissimo.
XSS e SQL Injection sono praticamente le due cause di vulnerabilità più diffuse in applicazioni web ed in genere nei corsi è la parte dove vedo davvero chi mi segue attenta e con un po' di preoccupazione. Purtroppo non c'è ancora un approccio completo ed organico alla sicurezza delle applicazioni web.
Ad ogni modo, se questo può servire a togliere dei dubbi, il fatto che la fix venga distribuita attraverso Windows Update e compagnia è un dettaglio di non poco conto, perchè consente di tenere ASP.NET in perfetto aggiornamento praticamente senza fare nient'altro.
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
- ASP.NET 5 e ASP.NET MVC 6: le cose da sapere, il 27 febbraio 2015 alle 09:10
- .NET Framework 4.6, .NET Core 5, ASP.NET 4.6 e ASP.NET 5: un po' di chiarezza, il 13 novembre 2014 alle 10:55
- La lunga strada verso la prossima versione di ASP.NET, il 29 settembre 2014 alle 17:24
- Visual Studio 11 beta: le novità di ASP.NET 4.5, l'1 marzo 2012 alle 19:53
- Inside ModelVirtualCasting #10: tutti pazzi per il web mobile, il 5 luglio 2010 alle 18:47
- Inside ModelVirtualCasting #9: Cache con Windows Server AppFabric, il 2 luglio 2010 alle 12:05