1

这个关于 oracle padding 漏洞的公告中,微软发布了以下推荐的错误页面:

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
        void Page_Load() {
        byte[] delay = new byte[1];
        RandomNumberGenerator prng = new RNGCryptoServiceProvider();

        prng.GetBytes(delay);
        Thread.Sleep((int)delay[0]);

        IDisposable disposable = prng as IDisposable;
        if (disposable != null) { disposable.Dispose(); }
    }
</script>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title></title>
</head>
<body>
    <div>
        An error occurred while processing your request.
    </div>
</body>
</html>

0-255之间的Thread.Sleep某个值是什么?我不希望我的服务器线程最多占用四分之一秒。

4

1 回答 1

3

原因是改变结果的时间。通过使返回花费可变的时间,您不能使用错误返回的时间来确定失败的原因,这是用于攻击的方法

于 2010-09-26T20:57:48.030 回答