Logsystem lækker logindata

Artiklen blev oprindeligt publiceret den 28/5/2013

En forkert opsætning af et udbredt system til fejllogning giver uvedkommende adgang til andre brugeres data.

Fejlen opstår, når administratoren af en web-applikation giver adgang fra internettet til logsystemet ELMAH (Error Logging Modules and Handlers). Det er et udbredt program til fejlfinding i applikationer udviklet med ASP.NET.

Hvis ELMAH-data er tilgængelige fra nettet, kan enhver finde dem via en simpel Google-søgning. Herefter kan en angriber udnytte den viden til at få fat i fortrolige data.

Sikkerhedskonsulent Troy Hunt beskriver i en video, hvordan han ved at narre sit offer til at klikke på et link kunne få adgang til offerets cookies via ELMAH. Dermed kunne han overtage offerets session på et websted, der kræver login.

Anbefaling
Brugere af ELMAH skal sikre sig, at systemet ikke kan nås ude fra internettet.

Links

• ASP.NET session hijacking with Google and ELMAH, blogindlæg af Troy Hunt
• Security is hard, insecurity is easy – demonstrating a simple misconfiguration risk, blogindlæg af Troy Hunt