ASP.NET 零時差攻擊:Padding Oracle Vulnerability 測試工具 - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 網 路 技 術 版


PCZONE 討論區



通知

-- 網 路 技 術 版 較深入的網路方面技術問題,請來此這版討論

會員
ASP.NET 零時差攻擊:Padding Oracle Vulnerability 測試工具
http://paddingoracletest.com/
可偵測檢測網站中是否存有 Padding Oracle Vulnerability

什麼是 Padding Oracle Explot?

當一個 padding 被提供給一個 ASP.NET 應用程式時, 依據 padding 是否有效, 可能會產生不同類型的回應, 讓攻擊者可以知道 padding 是否有效. 藉由知道這個, 攻擊者可能可以在數分鐘內獲得加/解密的金鑰.
有了加/解密的金鑰, 攻擊者可以做很多事情. 例如偽造他/她的認證 cookies, 及破解 ViewState 中的機敏資訊等等. 當 padding oracle exploit 和其他弱點結合, 網站可能被攻陷.
什麼有被影響?

所有 ASP.NET 版本 (包括 ASP.NET MVC), 從 1.0 到 4.0, 不論作業系統.
如何修正?

不幸的, Microsoft 仍在開發修正程式. 然而, 有一個暫時的解決方式.
藉由設定應用程式將所有類型的錯誤都導向到同樣的錯誤頁, 可避免攻擊者知道 padding 是否有效 (以及獲得加/解密的金鑰).
可參考延伸閱讀中的 Microsoft Advisory, 來獲得修正方式的詳細資訊.


回覆
主題工具


類似的主題
主題 主題作者 討論版 回覆 最後發表
ZJ-BLOG (ASP.NET 1.1 + AJAX) carloschen Blog 軟體分享 0 2008-01-08 11:36 AM
BlogEngine.net 1.0(ASP.NET) carloschen Blog 軟體分享 0 2007-06-16 10:44 AM
asp.net php 跟jsp 到底哪個好比較好阿 rz600000 -- 閒 話 家 常 灌 水 版 9 2004-12-19 05:18 PM
[免費空間30MB]支援 ASP.NET + ASP + ACCESS資料庫 mp593 ☉ -- 虛 擬 主 機 討 論 版 0 2004-04-05 11:20 PM






 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : www@pczone.com.tw

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :www@pczone.com.tw 處理。