Tag: padding oracle attack

这个新的ASP.NET安全漏洞有多严重,我该如何解决这个问题?

我刚刚在网上读到了一个新发现的ASP.NET安全漏洞。 你可以在这里阅读细节。 问题在于ASP.NET实现AESencryptionalgorithm的方式,以保护这些应用程序在用户会话期间生成的用于存储信息的cookie的完整性。 这有些模糊,但是这是一个更可怕的部分: 攻击的第一阶段需要几千个请求,但一旦攻击成功,攻击者获得密钥,就完全隐身了。所需的密码知识是非常基础的。 总而言之,我对安全/密码学知之甚less,不知道这是否真的如此严重。 那么,所有的ASP.NET开发人员都应该担心这种技术可以在几秒钟内拥有任何ASP.NET网站 ? 这个问题如何影响一般的ASP.NET开发人员? 它会影响我们吗? 在现实生活中,这个漏洞有什么后果? 最后:是否有一些解决方法可以防止此漏洞? 感谢您的回答! 编辑:让我总结我得到的答复 所以这基本上是一种“填充甲骨文”式的攻击。 @Sri对这种types的攻击是什么意思提供了一个很好的解释。 这是一个令人震惊的video关于这个问题! 关于这个漏洞的严重性:是的,这确实是严重的。 它让攻击者了解应用程序的机器密钥。 因此,他可以做一些非常不想要的事情。 在应用程序的机器密钥的刺激下,攻击者可以解密authenticationcookie。 更糟的是,他可以用任何用户的名字来生成authenticationcookie 。 因此,他可以在网站上出现任何人。 该应用程序无法区分你或黑客谁产生身份validationcookie与你自己的名字。 它也可以让他解密(也生成) 会话cookie ,虽然这不像以前那样危险。 不太严重:他可以解密encryption的ViewState页面。 (如果您使用ViewState存储有信心的数据,那么不应该这样做!) 非常令人意想不到 :凭借机器密钥的知识,攻击者可以从您的Web应用程序下载任何任意文件,甚至那些通常无法下载的文件! (包括Web.Config等) 这里有一些我没有解决的问题,但有助于提高Web应用程序的安全性。 您可以使用受保护的configuration来encryption敏感数据 使用HTTP仅Cookie 防止DoS攻击 现在,我们来关注这个问题。 Scott Guthrie在他的博客上发表了一篇关于它的文章 ScottGu的关于漏洞的FAQ博客文章 ScottGu关于漏洞的更新 微软有一个关于它的安全公告 了解漏洞 有关该漏洞的其他信息 解决scheme 启用customErrors并创build一个所有错误都redirect到的错误页面。 是的, 即使是404s 。 (ScottGu说,区分404s和500s对于这种攻击是必不可less的。)另外,在你的Application_Error或Error.aspx放置一些随机延迟的代码。 (生成一个随机数字,并使用Thread.Sleep睡了这么长时间。)这将使攻击者无法确定您的服务器上发生了什么。 有些人build议切换回3DES。 从理论上说,如果你不使用AES,你不会遇到AES实现中的安全弱点。 事实certificate,这是不build议的 […]