微软ASP.NET爆高危漏洞

简介: 微软9月17日发布安全预警,ASP.NET爆出最新安全漏洞, 即Microsoft Security Advisory (2416728)。SecurityFocus上已将此漏洞定义成了"Design Error"。

微软9月17日发布安全预警,ASP.NET爆出最新安全漏洞, 即Microsoft Security Advisory (2416728)。SecurityFocus上已将此漏洞定义成了"Design Error"。此次发现的安全漏洞源自ASP.NET对加密组件的底层实现, 所以它将影响所有基于ASP.NET的应用程序, 包括 Web Form 应用程序以及所有使用ASP.NET MVC 框架的应用程序. 包括xp,2003,vista,win7,2008, 2008r2等服务器版本,以及从asp.net 1.0,2.0,3.5,4.0等版本都会受此影响,目前网络上已出现针对此漏洞展开的攻击行为, 并预计相关活动将会在近日大幅上升。

安恒信息(dbappsecurity)研发团队迅速分析该漏洞,发现攻击者可以利用该漏洞做以下信息

1. 读取服务器上的一些文件,比如web.config, 联系到广大aps.net的用户可能有90%的人是直接将数据库密码明文写在web.config里面的,该漏洞的影响可想而知;

2. 获取一些加密信息,比如View State;

3. 通过发送一些修改的信息来查看一些服务器返回的error code,从而进一步攻击

安恒研究人员发现,通过一个工具,能够修改被AES加密过的ASP.NET窗体验证cookie;然后检查返回错误信息;获取Machine Key。这个过程100%成功而且只需要30分钟。一旦Machine key被破解出来了,黑客就能够模拟出验证 cookie。如果网站设计者启动了选项,让安全信息放入security cookie,那么攻击者就能够获取管理员权限。影响范围包括:membership provider, viewstate, 保存在security cookie里面的所有信息。

发动这种攻击,黑客需要通过不断重复发送信息,检测返回的错误信息,然后了解加密算法,最后实现攻击。安恒信息明御TM WEB应用防火墙是结合多年应用安全的攻防理论和应急响应实践经验研发而成,不需要升级或进行任何修改配置就能防范此漏洞的攻击。明御TM WEB应用防火墙WAF系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息;对异常态的HTTP响应页面进行修改过滤或者伪装,防止敏感信息泄露,让黑客无从利用实施攻击,从根源上杜绝这类漏洞。

目录
相关文章
|
Web App开发 .NET 数据安全/隐私保护
一起谈.NET技术,ASP.NET身份验证机制membership入门——项目
  前面说了很多关于membership的内容,感觉内容有点凌乱,内容都是一个个知识点,下面我们通过一个小的项目,来把所有的相关内容串一下。   首先描述一下需求:   我们要做一个最简单的网站。有三类用户:匿名用户,员工,管理员,网站结构如下:        admin目录下的页面只允许admin角色的用户访问,employee目录下的页面只允许emp角色的用户访问。
1084 0
|
Web App开发 前端开发 .NET
一起谈.NET技术,ASP.NET MVC2中Controller向View传递数据的三种方式
  在Asp.net mvc开发中,Controller需要向View提供Model,然后View将此Model渲染成HTML。这篇文章介绍三种由Controller向View传递数据的方式,实现一个DropDownList的显示。
931 0
|
缓存 .NET 数据库
一起谈.NET技术,构建高性能ASP.NET站点之三 细节决定成败
  前言:曾经就因为一个小小的疏忽,从而导致了服务器崩溃了,后来才发现:原来就是因为一个循环而导致的,所以,对“注意细节“这一说法是深有感触。   问题的描述   首先,描述一下故事的背景:(希望大家耐心的故事读完)   在网站中,网页中的分页控件每次显示10条数据,每次点击下一页,就再次去取下一个10条数据。
927 0
|
存储 XML 数据安全/隐私保护
一起谈.NET技术,网络硬盘开发技巧之ASP.NET+XML
  文件传送常用的三种方式FTP、Email及“网上邻居”都在一定程度上实现了文件数据的交流,但它们都主要面向“点对点”的传送,无法实现“一块空间,资源互见”的应用需求,这种基于“点对多”的共享模式需要寻求另外的传输途径,网络硬盘就是一种很好的解决方式。
1013 0
|
Web App开发 前端开发 .NET
一起谈.NET技术,关于技术争论(尤其是ASP.NETWebForms 和 ASP.NETMVC 之争)
  技术争论在博客和twitter里无休止地进行着,这些争论涵盖每个开发人员社区。每个语言,框架,工具,和平台在某个特定的时间都不可避免地会至少有几个争论在进行中。   下面是我多年来对技术争论所做的几个总的观察,以及对一些我最近看到的,尤其是关于ASP.NET Web Forms 和 ASP.NET MVC的最新讨论的一些评论。
1537 1
|
SQL 缓存 .NET
一起谈.NET技术,ASP.NET缓存简介
概述   缓存学术一些的解释是”将常用数据放入易于读取的地方以提高性能”。而对于Asp.net来说,需要被缓存的对象多种多样,包括从数据库中提取出来的数据,以及aspx页面生成的静态页,甚至是编译好的程序集。
1449 0
|
.NET 数据库 开发者
一起谈.NET技术,ASP.NET 4过滤数据新控件QueryExtender
  在ASP.NET 4中的一个新的控件是QueryExtender。QueryExtender控件是为了简化LinqDatasource或EntityDataSource控件返回的数据过滤而设计的,它主要是将过滤数据的逻辑从数据控件中分离出来。
891 0
|
.NET
一起谈.NET技术,ASP.NET的运行原理与运行机制
  当一个HTTP请求到服务器并被IIS接收到之后,IIS首先通过客户端请求的页面类型为其加载相应的.dll文件,然后在处理过程中将这条请求发送给能够处理这个请求的模块。在ASP.NET 3.5中,这个模块叫做HttpHandler(HTTP处理程序组件),之所以.aspx文件可以被服务器处理,就是因为在服务器端有默认的HttpHandler专门处理.aspx文件。
1064 0
|
Web App开发 前端开发 .NET
一起谈.NET技术,asp.net Ajax ---AutoComplete控件使用
简介:     AutoComplete控件就是在用户在文本框输入前几个字母或是汉字的时候,该控件就能从存放数据的文或是数据库里将所有以这些字母开头的数据提示给用户,供用户选择,提供方便.  重要属性:     1、TargetControlID:指定要实现提示功能的控件。
989 0
|
Web App开发 前端开发 .NET
一起谈.NET技术,将ASP.NET MVC 2.0 部署在IIS6和IIS7上的教程
  开发环境:Win7+IIS7+VS2008 SP1+ASP.NET MVC 2.0 RC   在部署MVC应用之前,一定要确保你的程序BIN文件夹下面是否包含 System.Web.Mvc.dll(非常重要),如图:   如果没有, 请在你的MVC项目中,打开引用列表,如图:     鼠标右键点击System.Web.Mvc,选择“属性”,转到下面窗口:   将“复制本地”设为True (默认为False),然后生成一下项目,System.Web.Mvc.dll就会出现在BIN文件夹下了。
1080 0