Sul forum relativo a BlogEngine.NET ospitato su CodePlex ne stanno già discutendo, alcuni blogger/developer propongono una soluzione tampone ….
Si tratta di un bug per cui digitando nella barra degl iindirizzi un certo url si può accedere ad informazioni quali la lista completa degli utenti e relative password, in chiaro ovviamente ….
http://domain.com/js.axd?path=/app_data/users.xml
L’exploit credo funzioni solo con chi usa xml come provider dei dati (e comunque non ho al momento la possibilità di testarlo altrimenti …), sostituendo l’indirizzo di un blog esistente a "domain.com" ci viene restituito il file xml contenente la lista utenti con le credenziali.
Cercando su web la cura più immediata che viene proposta e quella di togliere dal file web.config nella sezione httpHendlers la riga relativa a js.axd in attesa di avere una patch.
Dimenticavo di dire che sembrano affette da questo male le versioni 1.2 e 1.3
Un saluto a tutti.
Approfondimenti...
Ciao a tutti. Dal momento che sto prendendo il vizio di guardare i video sul sito della rai, volevo sapere se c'è qualche sistema per poterseli...
Ciao a tutti. Dal momento che sto prendendo il vizio di guardare i video sul sito della rai, volevo sapere se c'è qualche sistema per poterseli...
Ciao a tutti. Dal momento che sto prendendo il vizio di guardare i video sul sito della rai, volevo sapere se c'è qualche sistema per poterseli...
Ho iniziato ad utilizzare BE 1.5.0.7 con SQLite e abbinato a Windows Live Writer. Ogni tanto, devo ancora capire se esiste una condizione particolare come...
Mi permetto di rivolgermi direttamente a Cristiano in quanto ho notato proprio sul suo blog questa ... particolarità. Cristiano, Alcune stringhe...
Commenti...
Cavoletti! 
Ho fatto un test di prova ed è davvero impressionante. La cosa che mi meraviglia è come mai non vengano salvate criptate le password nel file xml 
Spero si piazzi una patch quanto prima possibile.
Miseriaccia
Quando hai fatto la segnalazione sul mio blog avevo capito tutt’altro! Adesso è tutto chiarissimo (oltre che le password ).
Che l’handler js.axd fosse stato scritto in fretta e male, Mads & company lo avevano già capito da tempo…
Infatti nella versione di sviluppo è stato disattivato (e credo che lo rimuoveranno perchè c’erano anche dei problemi di persistenza dei file javascript nella cache).
Ad ogni modo, appena ho tempo voglio guardare i vecchi sorgenti (se li trovo ancora) e capire il perchè di questa follia (purtroppo gli HTTPHandler essendo eseguiti direttamente dal superuser .NET hanno accesso ad App_data ).
[off topic --> per Francesco (Sanghino) ]
Se hai reinstallato il plugin Adsense sovrascrivendolo all’originale, ricorda di eliminare la relativa sezione da extensions.xml, altrimenti, per il meccanismo di caching, la nuova proprietà non verrà istanziata.
Ricordati inoltre di andare poi a reinserire i dati relativi agli annunci adsense che vuoi visualizzare
[fine off topic]
# 14/4/2008 07:37