Tag: padding oracle attack

这个新的ASP.NET安全漏洞有多严重，我该如何解决这个问题？

我刚刚在网上读到了一个新发现的ASP.NET安全漏洞。 你可以在这里阅读细节。 问题在于ASP.NET实现AESencryptionalgorithm的方式，以保护这些应用程序在用户会话期间生成的用于存储信息的cookie的完整性。 这有些模糊，但是这是一个更可怕的部分： 攻击的第一阶段需要几千个请求，但一旦攻击成功，攻击者获得密钥，就完全隐身了。所需的密码知识是非常基础的。 总而言之，我对安全/密码学知之甚less，不知道这是否真的如此严重。 那么，所有的ASP.NET开发人员都应该担心这种技术可以在几秒钟内拥有任何ASP.NET网站 ？ 这个问题如何影响一般的ASP.NET开发人员？ 它会影响我们吗？ 在现实生活中，这个漏洞有什么后果？ 最后：是否有一些解决方法可以防止此漏洞？ 感谢您的回答！ 编辑：让我总结我得到的答复 所以这基本上是一种“填充甲骨文”式的攻击。 @Sri对这种types的攻击是什么意思提供了一个很好的解释。 这是一个令人震惊的video关于这个问题！ 关于这个漏洞的严重性：是的，这确实是严重的。 它让攻击者了解应用程序的机器密钥。 因此，他可以做一些非常不想要的事情。 在应用程序的机器密钥的刺激下，攻击者可以解密authenticationcookie。 更糟的是，他可以用任何用户的名字来生成authenticationcookie 。 因此，他可以在网站上出现任何人。 该应用程序无法区分你或黑客谁产生身份validationcookie与你自己的名字。 它也可以让他解密（也生成） 会话cookie ，虽然这不像以前那样危险。 不太严重：他可以解密encryption的ViewState页面。 （如果您使用ViewState存储有信心的数据，那么不应该这样做！） 非常令人意想不到 ：凭借机器密钥的知识，攻击者可以从您的Web应用程序下载任何任意文件，甚至那些通常无法下载的文件！ （包括Web.Config等） 这里有一些我没有解决的问题，但有助于提高Web应用程序的安全性。 您可以使用受保护的configuration来encryption敏感数据 使用HTTP仅Cookie 防止DoS攻击 现在，我们来关注这个问题。 Scott Guthrie在他的博客上发表了一篇关于它的文章 ScottGu的关于漏洞的FAQ博客文章 ScottGu关于漏洞的更新 微软有一个关于它的安全公告 了解漏洞 有关该漏洞的其他信息 解决scheme 启用customErrors并创build一个所有错误都redirect到的错误页面。 是的， 即使是404s 。 （ScottGu说，区分404s和500s对于这种攻击是必不可less的。）另外，在你的Application_Error或Error.aspx放置一些随机延迟的代码。 （生成一个随机数字，并使用Thread.Sleep睡了这么长时间。）这将使攻击者无法确定您的服务器上发生了什么。 有些人build议切换回3DES。 从理论上说，如果你不使用AES，你不会遇到AES实现中的安全弱点。 事实certificate，这是不build议的 […]