Potenciální hrozba

HackForum

Potenciální hrozba#
Dobrý den, chci se jen zeptat, jestli je tohle nějak zneužitelná chyba:
[link]
(odpovědět)
Server Error | 31.31.228.*6.6.2017 18:19
re: Potenciální hrozba#
Zdravim,
podival jsme se na to. Vznikla exception v ASP.NET kvuli tomu, ze .Net se hodnotu daneho parametru pokousi zkonvertovat na cislo, a kdyz se mu to nepovede zobrazi se prave tato chyba.
Zobrazeni casti zdrojoveho kodu rozhodne chyba je, takze bych doporucil vzniknutou exception osetrit a hlavne vypnout v .Netu zobrazeni takovych debugovacich hlaseni.

[link]

(odpovědět)
rocknroll | 23.235.227.*9.6.2017 20:46
re: Potenciální hrozba#
Tahle chyba je záludná v tom, že mění výstup v závislosti na dodaném vstupu. Útočník se tak může za určitých okolností dostat k obsahu celého skriptu a jeho prostudováním se dostat třeba i k chybě/chybám, které bez znalosti zdrojového kódu není možné objevit.

Jinak tahle chyba je způsobena konverzí parametru na hodnotu čísla INT32 (přesně jako píše rocknroll) a ty jsi zadal řetězec, takže došlo k vyvolání obecné vyjímky. Stačilo by daný řádek obalilt vlastní vyjímkou a v případě jejího vyvolání nastavit do proměnné page nějakou obecnou hodnotu. Třeba číslo 1. A bylo by po problému.

Jinak sama o sobě tato chyba zneužitelná není.

----------
Sec-Cave.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website12.6.2017 13:18

Zpět
 
 
 

 
BBCode