我知道關於oracle填充漏洞的問題已經有幾個問題,但他們都沒有解釋如何下載web.config。我運行了幾個ASP .NET應用程序,這些應用程序已經使用Microsoft推薦的緩解因素進行了測試,但我仍然擔心人們能夠獲得web.config。Oracle填充漏洞 - 它如何下載web.config?
有人可以解釋他們如何做到這一點,甚至提供一個鏈接到我可以用來測試我的網站的工具。我發現對這部分攻擊的官方解釋是非常缺乏的。
這是在 公共顯示的攻擊依賴於ASP.NET 一項功能,允許文件(通常 JavaScript和CSS)進行下載, 和固定用的密鑰 發送作爲請求的一部分。 不幸的是,如果您能夠僞造一個密鑰 ,您可以使用此功能 下載 應用程序的web.config文件(但不包括 應用程序之外的文件)。
那麼,如果他們給了這些信息將是一個有點危險! – redsquare 2010-09-20 06:30:07
顯然它是在那裏的視頻,但我找不到它。無論如何,信息已經在那裏用於其餘的利用。 – Alex 2010-09-20 06:31:02
有沒有必要通過公共問答網站廣播信息。 – redsquare 2010-09-20 06:32:07