Mono umożliwia kradzież kodu

25 grudnia 2006 0 przez Michał Tomaszkiewicz

Luka w Mono – otwartym odpowiedniku środowiska .Net – pozwala atakującemu na wykradzenie kodu źródłowego witryny.

Zdobyta w ten sposób wiedza może zostać wykorzystana między innymi do odnalezienia słabych stron aplikacji webowej, które mogą zostać użyte przy dalszych atakach.

Aby wykorzystać błąd Mono, trzeba tylko do adresu atakowanej witryny dodać string „%20”, na przykład: „http://server/app/Default.aspx%20”.

Jak podaje odkrywca luki, istnieje także możliwość przechwycenia zawartości pliku Web.Config. Błąd występuje w Mono XSP 1.2.1 i wcześniejszych wersjach (z wyłączeniem linii 1.0).