攻击者以ASP.NET加密漏洞为攻击目标

微软发布警告称目前已经发现可以利用ASP.NET加密漏洞的攻击。

成都创新互联是一家专业提供木兰企业网站建设,专注与网站设计、网站建设、H5网站设计、小程序制作等业务。10年已为木兰众多企业、政府机构等服务。创新互联专业网站制作公司优惠进行中。

该漏洞影响微软的.NET framework，该框架几乎在所有的Windows版本上运行。在两名研究员发布Padding Oracle Exploit Tool（可自动找出和利用ASP.NET Web应用程序中的加密padding Oracle漏洞）后不几天，该攻击就开始了。

攻击通过欺骗Web服务器，在服务器返回的错误信息中寻找敏感信息。Web服务器返回的错误信息可以被攻击者用来破解AES加密。

在微软安全响应中心博客上，微软响应通信组经理Jerry Bryant说微软已确定他们的一些客户的系统正在经历这种攻击。研究人员私自泄露该漏洞的可能性不大。

Bryant写道，“和往常一样，我们继续鼓励基于社区的防御。我们认为一旦漏洞详情向公众公布，该漏洞被利用的风险就会大大增加。如果不通过协作来提供安全更新或合适的指南，风险就会扩大。”

OWASP Foundation主席和Web应用程序测试商Aspect Security的CEO Jeff Williams说该漏洞很严重，但是许多开发者和安全团队能修复易受感染的应用程序。ASP.NET应用程序在网络上占Web应用程序的比例为25%到30%，但是现在许多企业在Java 或PHP中开发Web应用程序。

Williams说，“可以想象的是许多其他种类的环境也容易受到这种类型的攻击，所以人们应该意识到这点。但这个问题并不是很难修复的。”

Padding oracle漏洞影响加密的执行，研究社区在2002年就已经了解这个问题。据POET工具的研究者Juliano Rizzo和Thai Duong说，Ruby on Rails和OWASP企业安全API工具包也可能会受到该漏洞的影响。Rizzo在研究论文上写了关于padding攻击技术的文章。

微软安全工程师在安全研究和防御博客上概述了ASP.NET漏洞。并且在博客中发表了可以用来发现易感染的ASP.NET应用程序的脚本。微软在ASP.NET安全咨文中建议用户将Web应用程序返回的错误信息设置为一致的信息，从而增加攻击者使用技术进行攻击的难度。

本文标题：攻击者以ASP.NET加密漏洞为攻击目标
链接分享：http://www.shufengxianlan.com/qtweb/news12/117862.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联