Всем добрый день!
Интересно, какие уязвимости используют эксплоиты для .NET приложений.
Существуют ли базы эксплоитов для .NET приложений?
Очень интересен вопрос пробивания managed кода, возможно ли это в принципе?
Спасибо!
Re: посоветуйте ресурс о безопасности .NET приложений
Здравствуйте, donkombat, Вы писали:
D>Всем добрый день! D>Интересно, какие уязвимости используют эксплоиты для .NET приложений. D>Существуют ли базы эксплоитов для .NET приложений? D>Очень интересен вопрос пробивания managed кода, возможно ли это в принципе? D>Спасибо!
.Net автоматически защищает только от уязвимостей типа переполнения буфера, остальные уязвимости будут работать.
Re[2]: посоветуйте ресурс о безопасности .NET приложений
Здравствуйте, Ziaw, Вы писали: Z>.Net автоматически защищает только от уязвимостей типа переполнения буфера, остальные уязвимости будут работать.
Спасибо за ответ! получается что .Net приложения подвержены уязвимостям: переполнение кучи и форматной строки? Если есть, кинь ссылку на источник и на ресурсы по этой теме. Я искал в интернете, нашел пока очень мало
Re[2]: посоветуйте ресурс о безопасности .NET приложений
Здравствуйте, Ziaw, Вы писали:
Z>.Net автоматически защищает только от уязвимостей типа переполнения буфера, остальные уязвимости будут работать.
нашел MS09-062! вот пример уязвимостей .Net приложений. Посмотрел в базах CVE и osvdb.org, в них нет ссылок на существующие эксплоиты к этой уязвимости и правил для IDS тоже нет. пока информации недостаточно
Re[3]: посоветуйте ресурс о безопасности .NET приложений
Здравствуйте, Ziaw, Вы писали:
Z>Здравствуйте, donkombat, Вы писали:
D>>получается что .Net приложения подвержены уязвимостям: переполнение кучи и форматной строки? Z>Нет. Это все по сути частные случаи переполнения буфера.
Не совсем так. Это все (включая переполнение буфера) — частный случай уязвимостей повреждения памяти.
Здравствуйте, donkombat, Вы писали:
D>Здравствуйте, Ziaw, Вы писали:
Z>>.Net автоматически защищает только от уязвимостей типа переполнения буфера, остальные уязвимости будут работать. D>нашел MS09-062! вот пример уязвимостей .Net приложений.
С чего бы это? GDI+ — нативная библиотека, .NET тут не причем.
D>Посмотрел в базах CVE и osvdb.org, в них нет ссылок на существующие эксплоиты к этой уязвимости и правил для IDS тоже нет. пока информации недостаточно
Здравствуйте, kochetkov.vladimir, Вы писали: KV>Недостаточно для чего?
Недостаточно для понимания того как можно реально использовать уязвимость в managed коде. Я интересуюсь безопасностью и зная об уязвимостях обыного unmanaged кода, хочу разобраться : есть ли уязвимости managed кода и как от них защищаются и как используют.
Re[5]: посоветуйте ресурс о безопасности .NET приложений
Здравствуйте, donkombat, Вы писали:
D>http://support.microsoft.com/kb/887219 D>MS05-004: Уязвимость при проверке путей приложениями ASP.NET делает возможным несанкционированный доступ
Все остальные типы уязвимостей уровня приложения типа недостаточной аутентификации / авторизации, перехвата / фиксации сессии, всевозможных иньекций (SQL/HTML/XML/JSON/HTTP и т.п.) и прочие — как были, так и остались.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, donkombat, Вы писали:
D>>http://support.microsoft.com/kb/887219 D>>MS05-004: Уязвимость при проверке путей приложениями ASP.NET делает возможным несанкционированный доступ
KV>Ну дык, это ж не повреждение памяти (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0847)
KV>Все остальные типы уязвимостей уровня приложения типа недостаточной аутентификации / авторизации, перехвата / фиксации сессии, всевозможных иньекций (SQL/HTML/XML/JSON/HTTP и т.п.) и прочие — как были, так и остались.
(http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0847) 