我知道關於oracle填充漏洞的問題已經有幾個問題,但他們都沒有解釋如何下載web.config。我運行了幾個ASP .NET應用程序,這些應用程序已經使用Microsoft推薦的緩解因素進行了測試,但我仍然擔心人們能夠獲得web.config。Oracle填充漏洞 - 它如何下載web.config?
有人可以解釋他們如何做到這一點,甚至提供一個鏈接到我可以用來測試我的網站的工具。我發現對這部分攻擊的官方解釋是非常缺乏的。
這是在 公共顯示的攻擊依賴於ASP.NET 一項功能,允許文件(通常 JavaScript和CSS)進行下載, 和固定用的密鑰 發送作爲請求的一部分。 不幸的是,如果您能夠僞造一個密鑰 ,您可以使用此功能 下載 應用程序的web.config文件(但不包括 應用程序之外的文件)。
Scott Guthrie有一個帖子,它在一定程度上解釋它。
「加密術語中的一個oracle是一個系統,當你提出問題時提供提示。」與Oracle(軟件製造商)無關。 Oracle PR對這裏的命名不會太高興...... – Thilo 2010-09-20 06:50:41
這篇文章對web.config的細節沒有幫助,這是提問者想知道的詳細信息 – 2010-09-21 00:10:09
傢伙 - 答案是,一旦他們獲得的machineKey,他們可以使用該密鑰在ASP.NET
「在ASP.NET 3.5使用其他功能的文件獲取Service Pack 1和ASP.NET 4.0有一項功能用於從應用程序提供文件,該功能通常由機器密鑰保護,但如果機器密鑰受到損害,則該功能會受到影響,這直接導致ASP.NET而不導致IIS IIS的安全設置不適用,一旦此功能遭到破壞,攻擊者就可以從您的應用程序下載文件 - 包括web.config文件,其中通常包含密碼
版本的A ASP.NET 3.5 SP1之前的SP.NET不具備此功能,但仍然易受主機密鑰攻擊的影響。「
(看到帖子在這裏的底部:http://forums.asp.net/t/1603799.aspx從asp.net隊)
這個'功能'似乎是由WebResource.axd和/或ScriptResource.axd文件。我還沒有看到確認,禁用/刪除這些將修復web.config文件泄露問題,但似乎可能。看起來攻擊可能能夠獲取機器密鑰,這是攻擊這些文件的先決條件。 – intoOrbit 2010-09-20 20:59:26
我試過用'ClientScript'方法使用WebResource.axd方法,並且從我所知道的情況來看,不僅希望以此方式提供服務的文件需要構建爲嵌入式資源,而且還需要在AssembilyInfo也是。如果我沒有這樣做,這是如何利用工作?它是如何得到像web.config那樣關鍵的東西的? – 2010-09-21 00:12:19
據我所知它去像這樣:
現在發出的,據我所知,這兩個都應該服務嵌入的資源,他們可以生成一個資源的請求,但我認爲情況並非如此(斯科特顧在他的帖子評論中提到那些在攻擊中使用的評論)。
FYI,這個缺陷的補丁已經發布在Windows Update上。
http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx
那麼,如果他們給了這些信息將是一個有點危險! – redsquare 2010-09-20 06:30:07
顯然它是在那裏的視頻,但我找不到它。無論如何,信息已經在那裏用於其餘的利用。 – Alex 2010-09-20 06:31:02
有沒有必要通過公共問答網站廣播信息。 – redsquare 2010-09-20 06:32:07