我知道关于 oracle padding 漏洞已经有一些关于 SO 的问题,但没有一个解释它是如何下载 web.config 的。我运行了几个 ASP .NET 应用程序,我已经使用 Microsoft 推荐的缓解因素对其进行了测试,但我仍然担心人们将能够获得 web.config。
有人可以解释他们是如何做到这一点的,甚至可以提供一个我可以用来测试我的网站的工具的链接。我发现官方对这部分攻击的解释真的很缺乏。
公开展示的攻击依赖于 ASP.NET 中的一项功能,该功能允许下载文件(通常是 javascript 和 css),并使用作为请求的一部分发送的密钥进行保护。不幸的是,如果您能够伪造密钥,您可以使用此功能下载应用程序的 web.config 文件(但不能下载应用程序之外的文件)。
伙计们 - 答案是,一旦他们获得 machineKey,他们就可以使用该密钥通过 ASP.NET 中的另一个功能来获取文件
“在 ASP.NET 3.5 Service Pack 1 和 ASP.NET 4.0 中,有一个功能用于从应用程序中提供文件。此功能通常受机器密钥保护。但是,如果机器密钥被泄露,则此功能是受到威胁。这直接进入 ASP.NET 而不是 IIS,因此 IIS 的安全设置不适用。一旦此功能受到威胁,攻击者就可以从您的应用程序下载文件 - 包括 web.config 文件,该文件通常包含密码。
ASP.NET 3.5 SP1 之前的 ASP.NET 版本没有此功能,但仍然容易受到主机密钥攻击。”
(请参阅此处底部的帖子:http ://forums.asp.net/t/1603799.aspx来自 asp.net 团队)
仅供参考,此错误的补丁已在 Windows 更新上发布。
http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx
afaik 它是这样的:
现在,据我所知,这两个都应该为嵌入式资源提供服务,但我想情况并非如此(Scott Gu 在他的帖子评论中确实提到了这些是在攻击中使用的那些)。
Scott Guthrie有一篇文章在一定程度上解释了这一点。