Solusi Mengatasi Kerentanan Sistem Keamanan ASP.net

Informasi penting ini saya peroleh dari forum, dan agar tidak susah mencarinya, saya catat saja disini.

Informasi mengenai kerentanan sistem keamanan aplikasi ASP.net.
Akibat dari kerentanan sistem keamanan ini:

  1. Orang bisa melakukan request atau mendownload file Web.Config yang biasanya berisi informasi data sensitif seperti koneksi database.
  2. Orang bisa membaca informasi viewstate yang dikirim ke client, bahkan tidak hanya viewstate tapi juga informasi lain yang terencrypt dan dikirim ke client.

Bagaimana mengatasi masalah keamanan ini?

Untuk mengatasi hal ini, langkah yang disarankan oleh Microsoft adalah sebagai berikut
1. Buka file Web.Config dan modifikasi di tag CustomError. Untuk .net 3.5 dan .net 4.0 tambahkan atribut redirectMode=”ResponseRewrite”

<configuration>
     <system.web>
         <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />
     </sytem.web>
</configuration>

2. Tambahkan file error.aspx di aplikasi. Jika terjadi error pada aplikasi, maka file ini yang akan di jalankan.
3. Di code behind file error.aspx, tambakan kode berikut di method PageLoad

Import System.Security.Cryptography
Import System.Threading

Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
     Dim delay As Byte() = New Byte(0) {}
     Dim prng As RandomNumberGenerator = New RNGCryptoServiceProvider()

     prng.GetBytes(delay)
     Thread.Sleep(CType(delay(0), Integer))

     Dim disposable As IDisposable = TryCast(prng, IDisposable)
     If Not disposable Is Nothing Then
          disposable.Dispose()
     End If
End Sub

Untuk artikel selengkapnya silahkan  baca disini

Catatan: Langkah-langkah yang di tulis di artikel tersebut merupakan solusi sementara sampai ada patch resmi yang dirilis oleh Microsoft. Dan solusi tersebut harus di terapkan di setiap aplikasi ASP.net yang kita buat, meskipun yang punya server/web hoster mungkin sudah menerapkan solusi tersebut di machine.config, tapi ada kemungkinan web.config kita meng-override rule tsb.

Update 29/09/2010
ASP.net security update telah tersedia di Microsoft Download centre. Untuk informasi selengkapnya baca disini.

About these ads

About Yuniar

Penulis sekarang lebih banyak bekerja menggunakan teknologi Microsoft .NET secara umum dan TIDAK lagi menggunakan aplikasi MapXtreme.net dari MapInfo. Karena itu mohon maaf, jika pertanyaan-pertanyaan mengenai MapXtreme sudah tidak bisa saya jawab lagi.

Posted on 28 September 2010, in ASP.net and tagged , . Bookmark the permalink. 2 Komentar.

  1. Kha-Zana (@kha_zana)

    liat blog ini juga yuk gan

    http://windowshosting.blogdetik.com/2013/12/16/tips-troubleshooting-untuk-pengembang-aspnet/

    Ada tips troubleshooting untuk ASP.NET

    Semoga membantu :)

Berikan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Ikuti

Get every new post delivered to your Inbox.

%d blogger menyukai ini: