Agujero De Seguridad En Asp
Páginas: 7 (1712 palabras)
Publicado: 14 de septiembre de 2011
Boletín del Criptonomicón
Año I, nº 11
6 de julio de 1998
******************************************
Este fin de semana el Web de Microsoft ha sido penetrado por hackers de todo el mundo que han sido capaces de ver los códigos fuente de las páginas .asp (Active Server Pages) y .pl (escritas en Perl). Ha sido uno de los golpes más duros para su imagen y para su privacidad en estos últimosmeses.
*******************************************
En este boletín:
1. Hackers de todo el mundo entran el servidor web de Microsoft
2. Agujero de seguridad en ASP
3. Fracaso de los planes criptográficos de la Casa Blanca
4. Nuevo boletín sobre seguridad editado por Bruce Schneier
5. Requisitos de seguridad para las extensiones del servidor Microsoft FrontPage
6. Bug en servidores Web quepermite ver código fuente
7. Compaq lanza el módulo Fingerprint ID para PCs
8. Información sobre suscripción y cómo borrarse
******************************************
1. Hackers de todo el mundo entran el servidor web de Microsoft
¡EXCLUSIVA! Un grupo de “hackers” descubrió el pasado jueves una grave fisura de seguridad en el servidor web de Microsoft y obtuvo los “códigos fuente” (oclaves informáticas) de las páginas activas en el servidor, realizadas en “asp” y “perl”, pudiendo obtener, de este
modo, información confidencial y contraseñas de acceso a bases de datos de Microsoft. Analizando estos códigos fuente, los intrusos
informáticos pueden entrar en los servidores web NT que no hayan adoptado en los últimos días extremas medidas de seguridad. Alrededor del 40 % deservidores web en Internet utiliza esta plataforma.
Microsoft ha enviado un boletín especial a un buen número de
administradores de sistemas, reconociendo el hecho e instándoles a adoptar extraordinarias medidas de seguridad. La fisura descubierta por los hackers se comprobaba colocando los signos ::$DATA después de marcar una dirección de cualquier página en “asp”. En ese momento se abría unaventana que permitía acceder a los códigos fuente de las páginas del servidor, según pudo comprobar directamente “La Brújula”.
El descubrimiento se difundió por todo el mundo a las 18.24 hora
española, 6.24 AM Pacific, y doce horas después, a las 6.15 hora
española, Microsoft difundió una comunicación especial advirtiendo del hecho. En esas doce horas de diferencia, cientos de programadores detodo el mundo descargaron ficheros de Microsoft, así como de otros servidores con idénticos problemas de seguridad. La compañía de Bill Gates también ha habilitado un sitio web:
http://www.microsoft.com/security
facilitando la información. La
noticia de este “bug”, que ha sido recogida también por News.com y Wired, ocupa en estos días la atención de miles de programadores
mundiales.Consitituye, asimismo, uno de los fallos de seguridad más graves de Microsoft en los últimos meses.
(Tomado de LABRUJULA.NET Domingo, 5 julio 1998 y reproducido con el permiso de Mikel Amigot. Más información en http://www.imssa.es/)
******************************************
2. Agujero de seguridad en ASP
Debido a la importancia de este agujero, que no sólo afecta a los servidores deMicrosoft, sino a todos los que utilicen páginas ASP, doy a continuación más detalles sobre el mismo.
Basta con añadir "::$DATA" a continuación de una dirección URL en la ventanita "Dirección"de nuestro navegador, para que en vez de ejecutarse en el servidor la página de servidor activa (ASP), se descargue en un fichero su código fuente, en vez del resultado de su ejecución. Si en vuestro Web seencuentra alguna página de extensión .asp, podéis hacer la prueba, escribiendo:
http://www.tuservidor.es/tupagina.asp::$DATA
y obtendréis el fichero fuente, no la página producida por su ejecución.
Son vulnerables a este ataque los ficheros con las extensiones .inc, .idc, .stm, .asp, .asa, .shtm, .shtml y .pl en servidores NT con IIS.
Si se tiene en cuenta que estas páginas se suelen...
Año I, nº 11
6 de julio de 1998
******************************************
Este fin de semana el Web de Microsoft ha sido penetrado por hackers de todo el mundo que han sido capaces de ver los códigos fuente de las páginas .asp (Active Server Pages) y .pl (escritas en Perl). Ha sido uno de los golpes más duros para su imagen y para su privacidad en estos últimosmeses.
*******************************************
En este boletín:
1. Hackers de todo el mundo entran el servidor web de Microsoft
2. Agujero de seguridad en ASP
3. Fracaso de los planes criptográficos de la Casa Blanca
4. Nuevo boletín sobre seguridad editado por Bruce Schneier
5. Requisitos de seguridad para las extensiones del servidor Microsoft FrontPage
6. Bug en servidores Web quepermite ver código fuente
7. Compaq lanza el módulo Fingerprint ID para PCs
8. Información sobre suscripción y cómo borrarse
******************************************
1. Hackers de todo el mundo entran el servidor web de Microsoft
¡EXCLUSIVA! Un grupo de “hackers” descubrió el pasado jueves una grave fisura de seguridad en el servidor web de Microsoft y obtuvo los “códigos fuente” (oclaves informáticas) de las páginas activas en el servidor, realizadas en “asp” y “perl”, pudiendo obtener, de este
modo, información confidencial y contraseñas de acceso a bases de datos de Microsoft. Analizando estos códigos fuente, los intrusos
informáticos pueden entrar en los servidores web NT que no hayan adoptado en los últimos días extremas medidas de seguridad. Alrededor del 40 % deservidores web en Internet utiliza esta plataforma.
Microsoft ha enviado un boletín especial a un buen número de
administradores de sistemas, reconociendo el hecho e instándoles a adoptar extraordinarias medidas de seguridad. La fisura descubierta por los hackers se comprobaba colocando los signos ::$DATA después de marcar una dirección de cualquier página en “asp”. En ese momento se abría unaventana que permitía acceder a los códigos fuente de las páginas del servidor, según pudo comprobar directamente “La Brújula”.
El descubrimiento se difundió por todo el mundo a las 18.24 hora
española, 6.24 AM Pacific, y doce horas después, a las 6.15 hora
española, Microsoft difundió una comunicación especial advirtiendo del hecho. En esas doce horas de diferencia, cientos de programadores detodo el mundo descargaron ficheros de Microsoft, así como de otros servidores con idénticos problemas de seguridad. La compañía de Bill Gates también ha habilitado un sitio web:
http://www.microsoft.com/security
facilitando la información. La
noticia de este “bug”, que ha sido recogida también por News.com y Wired, ocupa en estos días la atención de miles de programadores
mundiales.Consitituye, asimismo, uno de los fallos de seguridad más graves de Microsoft en los últimos meses.
(Tomado de LABRUJULA.NET Domingo, 5 julio 1998 y reproducido con el permiso de Mikel Amigot. Más información en http://www.imssa.es/)
******************************************
2. Agujero de seguridad en ASP
Debido a la importancia de este agujero, que no sólo afecta a los servidores deMicrosoft, sino a todos los que utilicen páginas ASP, doy a continuación más detalles sobre el mismo.
Basta con añadir "::$DATA" a continuación de una dirección URL en la ventanita "Dirección"de nuestro navegador, para que en vez de ejecutarse en el servidor la página de servidor activa (ASP), se descargue en un fichero su código fuente, en vez del resultado de su ejecución. Si en vuestro Web seencuentra alguna página de extensión .asp, podéis hacer la prueba, escribiendo:
http://www.tuservidor.es/tupagina.asp::$DATA
y obtendréis el fichero fuente, no la página producida por su ejecución.
Son vulnerables a este ataque los ficheros con las extensiones .inc, .idc, .stm, .asp, .asa, .shtm, .shtml y .pl en servidores NT con IIS.
Si se tiene en cuenta que estas páginas se suelen...
Leer documento completo
Regístrate para leer el documento completo.