10
这个新的ASP.NET安全漏洞有多严重,如何解决?
我刚刚在网上阅读了有关ASP.NET中新发现的安全漏洞的信息。您可以在此处阅读详细信息。 问题在于ASP.NET实施AES加密算法以保护这些应用程序在用户会话期间生成的用于存储信息的cookie的完整性。 这有点含糊,但这是一个更令人恐惧的部分: 攻击的第一阶段需要数千个请求,但是一旦成功,攻击者获得了秘密密钥,就完全是秘密的。所需的密码知识非常基础。 总而言之,我对安全性/加密图主题还不够熟悉,无法知道这是否真的那么严重。 那么,所有ASP.NET开发人员都应该担心这种可以在几秒钟之内拥有任何ASP.NET网站的技术吗? 此问题如何影响普通的ASP.NET开发人员?它对我们有影响吗?在现实生活中,此漏洞的后果是什么?最后,是否有防止该漏洞的解决方法? 感谢您的回答! 编辑:让我总结一下我得到的答复 因此,这基本上是一种“ padding oracle”攻击。@Sri对这种攻击的含义提供了很好的解释。这是有关此问题的令人震惊的视频! 关于此漏洞的严重性:是的,确实是严重的。它使攻击者可以了解应用程序的机器密钥。因此,他可以做一些非常不需要的事情。 拥有应用程序的机器密钥后,攻击者可以解密身份验证Cookie。 甚至更糟糕的是,他可以使用任何用户的名称生成身份验证cookie。因此,他可以在网站上以任何人的身份出现。该应用程序无法区分您还是使用您自己的名字生成身份验证Cookie的黑客。 它还使他能够解密(并生成)会话cookie,尽管这不像前一个那么危险。 不太严重:他可以解密页面的加密ViewState。(如果您使用ViewState存储机密数据,则无论如何都不应该这样做!) 出乎意料:借助机器密钥,攻击者可以从您的Web应用程序下载任何文件,甚至通常无法下载的文件也是如此!(包括Web.Config等) 这是我得到的很多好的实践,它们不能解决问题,但有助于提高Web应用程序的总体安全性。 您可以使用受保护的配置加密敏感数据 使用仅HTTP cookie 防止DoS攻击 现在,让我们集中讨论这个问题。 斯科特·格思里(Scott Guthrie)在他的博客上发布了关于它的条目 ScottGu的有关该漏洞的FAQ博客文章 ScottGu关于漏洞的更新 Microsoft对此有安全建议 了解漏洞 有关漏洞的其他信息 解决方案 启用customErrors并创建一个将所有错误都重定向到的错误页面。是的,甚至是404s。(ScottGu说,区分404和500是此攻击的必要条件。)此外,在您的代码中Application_Error或Error.aspx放置一些会造成随机延迟的代码。(生成一个随机数,并使用Thread.Sleep睡眠那么长时间。)这将使攻击者无法确定服务器上到底发生了什么。 有人建议切换回3DES。从理论上讲,如果您不使用AES,就不会遇到AES实现中的安全漏洞。事实证明,根本不建议这样做。 其他一些想法 似乎并非 每个人都认为解决方法足够好。 感谢所有回答我的问题的人。我不仅从这个问题中学到了很多知识,而且从总体上学到了网络安全方面的知识。我将@Mikael的答案标记为已接受,但其他答案也非常有用。