Thread.Sleep在aspx错误页面中。为什么?

时间:2010-09-26 20:51:44

标签: asp.net padding-oracle-attack

在关于oracle padding漏洞的this advisory中,Microsoft发布了以下推荐的错误页面:

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
        void Page_Load() {
        byte[] delay = new byte[1];
        RandomNumberGenerator prng = new RNGCryptoServiceProvider();

        prng.GetBytes(delay);
        Thread.Sleep((int)delay[0]);

        IDisposable disposable = prng as IDisposable;
        if (disposable != null) { disposable.Dispose(); }
    }
</script>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title></title>
</head>
<body>
    <div>
        An error occurred while processing your request.
    </div>
</body>
</html>

Thread.Sleep与0-255之间的值有什么关系?我不希望我的服务器线程占用最多四分之一秒。

1 个答案:

答案 0 :(得分:3)

原因是改变结果的时间。通过使返回花费可变的时间,您不能使用错误返回的时间来确定失败的原因,这是用于攻击的方法

相关问题
最新问题