在web.config中创建自定义httphandler:我是否有暴露“Padding Oracle”漏洞的风险?

时间:2010-10-29 00:44:09

标签: asp.net security webresource.axd scriptresource.axd

考虑到最近的ASP.NET漏洞,我应该在我的httphandlers中查找哪些内容会导致这样的Padding Oracle漏洞?

以另一种方式询问...... MSFT做错了什么以及他们在处理程序中修复了什么?

2 个答案:

答案 0 :(得分:0)

我认为错误的是他们对错误提供了“太多”的信息。

@Sri在这里分析得很好 How serious is this new ASP.NET security vulnerability and how can I workaround it?

答案 1 :(得分:0)

WebResource.axd和ScriptResource.axd有3个问题:

  1. 作为填充oracle工作。这是因为这些解密信息在查询字符串中发送,并且当解密的字符串具有无效与有效填充时之间的行为不同 - 因为它已被篡改。微软做出的修复包括使用HMAC防止数据被篡改 - 在任何填充检查之前检查,因此它不会公开填充信息
  2. 依靠正常的加密/解密来接收资源/文件的请求。它并不意味着需要防篡改机制。
  3. 允许访问任何类型的文件,而不仅仅是JavaScript文件

    4. 最重要的是,不要允许更多的访问权限,只有当你真的需要加密/解密防篡改它时。

    在我写博客的那天how it related to getting different levels of access

相关问题
最新问题