0
考慮到最近的ASP.NET漏洞,我應該在我的httphandlers中尋找哪些可能會導致Padding Oracle漏洞的東西?在web.config中創建自定義的httphandler:我是否有暴露'Padding Oracle'漏洞的風險?
以另一種方式提問...... MSFT做錯了什麼,他們在處理程序中修復了什麼?
A
回答
0
我認爲這個錯誤是他們給出了有關錯誤的「太多」信息。
@Sri這裏分析得很好
How serious is this new ASP.NET security vulnerability and how can I workaround it?
0
有3個問題的WebResource.axd和的ScriptResource.axd:
- 工作作爲填充神諭。這是因爲這些解密後的信息以查詢字符串形式發送,並且在解密後的字符串中存在無效填充或有效填充時表現不同 - 因爲它已被篡改。微軟所做的修復包括使用HMAC來防止數據被篡改 - 這是在任何填充檢查之前檢查的,因此它不會顯示填充信息
- 依靠正常的加密/解密來接收資源/文件請求。這並不意味着需要防篡改機制。
- 允許任何類型的文件的訪問,不僅JavaScript文件
底線,不要讓過多的權限且僅當您真正需要的加密/解密防篡改它。
相關問題
- 1. 在GTM的dataLayer中暴露PII信息的風險是什麼?
- 2. 我是否使用此重定向方法暴露任何漏洞? Play Framework 2
- 3. 暴露用戶ID是否危險?
- 4. 在OS X上使用Python是否使我暴露於Shellshock?
- 5. iphone - 在創建自定義視圖時暴露事件(通知)
- 6. glibc fnmatch漏洞:如何揭露漏洞?
- 7. 從暴露的鏈接可能的JavaScript漏洞?
- 8. 引用正在創建的變量是否有風險?
- 9. 創建自定義集合時暴露收集方法
- 10. 使用attr_accessible和attr_protected修復安全漏洞有哪些風險?
- 11. 將Kestrel暴露給外部世界的風險
- 12. 將php文件夾暴露給瀏覽器的安全風險
- 13. 調用客戶端的表單的DoS風險/漏洞javascript/webpop
- 14. .NET 4.5填充oracle漏洞
- 15. 在Silverlight中暴露自定義控件中的不透明度
- 16. 在django中暴露密碼
- 17. SSL證書和密鑰都暴露給公衆是否危險?
- 18. 評估在查詢字符串中暴露行標識的安全風險
- 19. 在Drupal視圖中暴露過濾器的自定義邏輯
- 20. asp.net中自定義的HttpHandler
- 21. 我是否有POST風險的CSRF攻擊風險,不需要用戶登錄?
- 22. 拼圖 - 暴露與自定義類型的私有成員
- 23. 自定義DataProvider類可以暴露自定義模板嗎?
- 24. 是否可以綁定到私有變量暴露的屬性?
- 25. Firebase數據庫 - 與在客戶端暴露uid相關的風險?
- 26. 我正在使用Maven進行風暴。我可以創建風暴拱門嗎?
- 27. 在錯誤消息中暴露SQL架構會帶來哪些安全風險?
- 28. 我的代碼中是否存在這個sql漏洞?
- 29. PHP風暴調試創建空的服務器定義
- 30. java屬性 - 暴露還是不暴露?
哪個錯誤?我如何在我的代碼中不恰當地實現同樣的事情? – LamonteCristo 2010-10-29 00:50:46
@ MakerOfThings7您提供解密錯誤密鑰時得到的錯誤。 – Aristos 2010-10-29 00:52:33