考虑到最近的 ASP.NET 漏洞,我应该在我的 httphandlers 中寻找什么会导致这样的 Padding Oracle 漏洞?
以另一种方式问... MSFT 做错了什么,他们在处理程序中修复了什么?
问问题
439 次
2 回答
0
我认为错误在于他们提供了有关错误的“太多”信息。
@Sri 这里分析得很好
这个新的 ASP.NET 安全漏洞有多严重,我该如何解决?
于 2010-10-29T00:47:37.267 回答
0
WebResource.axd 和 ScriptResource.axd 存在 3 个问题:
- 作为填充预言机工作。这是因为这些解密信息在查询字符串中发送,并且当解密字符串具有无效与有效填充时表现不同 - 因为它已被篡改。微软所做的修复包括使用 HMAC 来防止数据被篡改 - 在任何填充检查之前都会检查它,因此它不会暴露填充信息
- 依靠正常的加密/解密来接收对资源/文件的请求。这不是为了那个,需要一个防篡改机制。
- 允许访问任何类型的文件,而不仅仅是 JavaScript 文件
最重要的是,只有在您确实需要加密/解密防篡改时才允许进行不必要的访问。
回到那天,我在博客上写过它与获得不同级别的访问权限的关系
于 2010-10-29T03:52:50.747 回答