會員 | ASP.NET 零時差攻擊:Padding Oracle Vulnerability 測試工具 http://paddingoracletest.com/ 可偵測檢測網站中是否存有 Padding Oracle Vulnerability 什麼是 Padding Oracle Explot? 當一個 padding 被提供給一個 ASP.NET 應用程式時, 依據 padding 是否有效, 可能會產生不同類型的回應, 讓攻擊者可以知道 padding 是否有效. 藉由知道這個, 攻擊者可能可以在數分鐘內獲得加/解密的金鑰. 有了加/解密的金鑰, 攻擊者可以做很多事情. 例如偽造他/她的認證 cookies, 及破解 ViewState 中的機敏資訊等等. 當 padding oracle exploit 和其他弱點結合, 網站可能被攻陷. 什麼有被影響? 所有 ASP.NET 版本 (包括 ASP.NET MVC), 從 1.0 到 4.0, 不論作業系統. 如何修正? 不幸的, Microsoft 仍在開發修正程式. 然而, 有一個暫時的解決方式. 藉由設定應用程式將所有類型的錯誤都導向到同樣的錯誤頁, 可避免攻擊者知道 padding 是否有效 (以及獲得加/解密的金鑰). 可參考延伸閱讀中的 Microsoft Advisory, 來獲得修正方式的詳細資訊. |
回覆 |
|
類似的主題 | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
ZJ-BLOG (ASP.NET 1.1 + AJAX) | carloschen | Blog 軟體分享 | 0 | 2008-01-08 11:36 AM |
BlogEngine.net 1.0(ASP.NET) | carloschen | Blog 軟體分享 | 0 | 2007-06-16 10:44 AM |
asp.net php 跟jsp 到底哪個好比較好阿 | rz600000 | -- 閒 話 家 常 灌 水 版 | 9 | 2004-12-19 05:18 PM |
[免費空間30MB]支援 ASP.NET + ASP + ACCESS資料庫 | mp593 | ☉ -- 虛 擬 主 機 討 論 版 | 0 | 2004-04-05 11:20 PM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。