Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/1/2010
Forskere har fundet en sårbarhed i teknologien "view state," som blandt andet kan bruges i Apache MyFaces, Sun Mojarra og Microsofts ASP.NET. Udviklere kan undgå at gøre deres applikationer sårbare ved at følge best practices.Sikkerhedsforskerne David Byrne og Rohini Sulatycki fra Trustwave SpiderLabs vil offentliggøre detaljer om sårbarheden på konferencen Black Hat DC i næste uge.
View state bruges til at give en ensartet brugeroplevelse på tværs af websider. Den gør det muligt at opdatere elementer uden at sende hele websiden fra serveren til browseren, skriver DarkReading.
Sårbarheden i MyFaces og Mojarra kan give uvedkommende adgang til en brugers data, der lagres på en server. Sårbarheden i ASP.NET er mindre alvorlig, men kan bruges til cross-site scripting-angreb.
Ifølge DarkReading er der best practices for, hvordan man bruger view state på en sikker måde. Men indtil nu har der ikke været kendte eksempler på, hvordan sårbarheden kan udnyttes. Det vil forskerne offentliggøre i næste uge.