Question

Учитывая недавнюю уязвимость ASP.NET, что мне следует искать в моих http-обработчиках, которые могли бы вызвать такую уязвимость Oracle Padding?

По-другому спросили ... что MSFT сделала неправильно и что они сделалиисправить в своих обработчиках?

eglasius · Answer 1 · 29 октября 2010

Было 3 проблемы с WebResource.axd и ScriptResource.axd:

Работая как набивочный оракул. Это связано с тем, что эти расшифрованные данные отправляются в строке запроса и ведут себя по-разному, когда дешифрованная строка имеет недопустимые значения по сравнению с допустимым заполнением - потому что она была подделана. Исправление, сделанное Microsoft, включало использование HMAC для предотвращения подделки данных - это проверяется перед любой проверкой заполнения, поэтому оно не предоставляет информацию о заполнении
Полагается на обычное шифрование / дешифрование для получения запроса на ресурс / файл. Для этого не нужен механизм защиты от несанкционированного доступа.
Предоставление доступа к любым файлам, не только к файлам JavaScript

Итог, не позволяйте больше доступа, чем необходимо, и только если вам действительно нужно шифрование / дешифрование, проверьте его.

Aristos · Answer 2 · 29 октября 2010

Я думаю, что проблема в том, что они дают «слишком много» информации об ошибке.

Создание собственного httphandler в web.config: Могу ли я подвергнуться уязвимости «Padding Oracle»?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.