Mono umożliwia kradzież kodu

25 grudnia 20061 stycznia 2020 Michał Tomaszkiewicz luki i łaty

Luka w Mono – otwartym odpowiedniku środowiska .Net – pozwala atakującemu na wykradzenie kodu źródłowego witryny.

Zdobyta w ten sposób wiedza może zostać wykorzystana między innymi do odnalezienia słabych stron aplikacji webowej, które mogą zostać użyte przy dalszych atakach.

Aby wykorzystać błąd Mono, trzeba tylko do adresu atakowanej witryny dodać string „%20”, na przykład: „http://server/app/Default.aspx%20”.

Jak podaje odkrywca luki, istnieje także możliwość przechwycenia zawartości pliku Web.Config. Błąd występuje w Mono XSP 1.2.1 i wcześniejszych wersjach (z wyłączeniem linii 1.0).