【发布时间】:2011-04-14 12:38:51
【问题描述】:
我知道在 SO 上已经有一些关于 oracle padding 漏洞的问题,但没有一个解释它是如何下载 web.config 的。我运行了几个 ASP .NET 应用程序,我已经使用 Microsoft 推荐的缓解因素进行了测试,但我仍然担心人们将能够获得 web.config。
谁能解释一下他们是如何做到这一点的,甚至可以提供一个指向我可以用来测试我的网站的工具的链接。我发现官方对这部分攻击的解释实在是太缺乏了。
中显示的攻击 public 依赖于 ASP.NET 中的一个特性 允许文件(通常 javascript和css)要下载, 并用一把钥匙保护 作为请求的一部分发送。 不幸的是,如果你能够伪造 一键,您可以使用此功能 下载一个 web.config 文件 应用程序(但不是 应用程序)。
【问题讨论】:
-
@redsquare 有点鸵鸟的行为,你不觉得吗?
-
@Anton Gogolev 一点也不,你不认为他们(Scott Gu 等人)如果想要在公共领域发布这些信息。
-
@redsquare:这还不够好。如果您经营一个大型生产 asp.net 网站,该网站可能也是一项业务,您会同意。
-
我当然会。所以我可以证明我已经修复了它。对我来说,仅仅实施“修复”是不够的,而是最终证明我们已经“修复了某些东西”。
-
@redsquare:漏洞利用已经在野外,和缓解变通办法已经发布 - 发布漏洞利用细节会如何伤害?恕我直言,详细信息可能有助于 1)进一步保护您的网站,2)避免在您自己的代码中犯一些相同的错误。
标签: asp.net security padding-oracle-attack