В начале этой недели Microsoft объявила о том, что исследует уязвимость в ASP.NET, позволяющую посетителям обходить запрос пароля при обращении к страницам с ограниченным доступом, связанную с приведением URL к каноническому виду - оказалось возможным использование в URL вместо символа обратного слеша ('') символов прямого слеша ('/'), пробела и "%5c". В качестве средства устранения проблемы сперва было предложено добавить в файл Global.asax обоработчик события Application_BeginRequest, выполняющий проверку путей на наличие запрещенных символы. Чуть позже администраторам IIS было предложено скачать и установить модуль ValidatePath, решающий ту же задачу. Классический ASP не подвержен данной уязвимости.
Описание