asp.net – Oracle padding exploit – 如何下载web.config?
我知道关于oracle padding漏洞利用的问题已经有一些问题,但没有一个解释它是如何下载web.config的.我运行了几个ASP .NET应用程序,我已经使用Microsoft建议的缓解因素进行了测试,但我仍然害怕人们将能够获得web.config.
有人可以解释他们是如何做到这一点,甚至提供一个链接到我可以用来测试我的网站的工具.我发现这部分攻击的官方解释确实缺乏.
解决方法
伙计们 – 答案是,一旦他们获得了machineKey,他们就可以使用该密钥来使用ASP.NET中的另一个功能来获取文件
“在ASP.NET 3.5 Service Pack 1和ASP.NET 4.0中,有一项功能用于从应用程序提供文件.此功能通常受机器密钥保护.但是,如果机器密钥被泄露,则此功能为这直接导致ASP.NET而不是IIS,因此IIS的安全设置不适用.一旦此功能受到攻击,攻击者就可以从您的应用程序下载文件 – 包括通常包含密码的web.config文件. ASP.NET 3.5 SP1之前的ASP.NET版本没有此功能,但仍然容易受到主机攻击.“ (请参阅此处底部的帖子:来自asp.net团队的http://forums.asp.net/t/1603799.aspx) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc – 如何为所有控制器编写动作过滤器
- asp.net-mvc – 神控制器 – 如何防止它们?
- oauth-2.0 – 在MVC6应用程序中的OAuth令牌到期
- asp.net – gridview在viewstate中保存数据吗?
- asp.net页面SqlCacheDependency缓存实例
- asp.net – 为VS2010和TFS中的团队管理web.config
- ASP.NET全球化:Culture =“auto”页面指令,中性文化崩溃?
- asp.net-mvc – 首次加载时,如何/如何在MVC app中使用存储在
- asp.net-mvc – 作为局部视图的Mvc flash消息
- asp.net-mvc-5 – 在MVC 5的IPasswordStore中,SetPasswordH
- asp.net-mvc – 如何在ASP.NET MVC w / VB.NET中
- asp.net-mvc – ASP.NET MVC组合下拉框
- asp.net – 覆盖webapi odata链接的主机
- 在asp.net应用程序中管理与数据库的连接
- asp.net-mvc – 异步使用ASP.NET MVC中的WebClie
- asp.net:部分类和继承
- ASP.NET身份两个因素不起作用 – Cookie问题?
- asp.net-mvc – MVC EF4 POCO – 如何存储实体上
- asp.net-mvc-2 – 如何使用Castle Windsor在MVC中
- asp.net – 处理程序“PageHandlerFactory-ISAPI