Эксплойт с Oracle padding - как он загружает web.config? - PullRequest
6 голосов
/ 20 сентября 2010

Я знаю, что на SO уже есть несколько вопросов об эксплойте с заполнением оракула, но ни один из них не объясняет, как он загружает web.config.Я запускаю несколько приложений ASP .NET, которые я уже тестировал, используя рекомендованные Microsoft факторы смягчения, но я все еще боюсь, что люди смогут получить web.config.

Может кто-нибудь объяснить, как они это делают, или даже дать ссылку на инструмент, с помощью которого я могу протестировать свой сайт.Я считаю, что официальное объяснение этой части атаки действительно отсутствует.

Атака, которая была показана публике, основывается на функции в ASP.NET, которая позволяет файлы (обычно javascript и css)быть загруженным, и который защищен ключом, который отправляется как часть запроса.К сожалению, если вы можете подделать ключ, вы можете использовать эту функцию для загрузки файла web.config приложения (но не файлов вне приложения).

Ответы [ 6 ]

3 голосов
/ 20 сентября 2010

Ребята - ответ таков: как только они получили machineKey, они могут использовать этот ключ для извлечения файлов, используя другую функцию в ASP.NET

"В ASP.NET 3.5 с пакетом обновления 1 и ASP.NET 4.0 есть функция, которая используется для обслуживания файлов из приложения. Обычно эта функция защищена ключом компьютера. Однако, если ключ компьютера скомпрометирован, то Эта функция скомпрометирована. Это относится непосредственно к ASP.NET, а не к IIS, поэтому параметры безопасности IIS не применяются. После того, как эта функция скомпрометирована, злоумышленник может загрузить файлы из вашего приложения, включая файл web.config, который часто содержит пароли.

Версии ASP.NET до ASP.NET 3.5 с пакетом обновления 1 (SP1) не имеют этой функции, но все еще уязвимы для атаки с помощью основного ключа компьютера. "

(см. Сообщение внизу здесь: http://forums.asp.net/t/1603799.aspx от команды asp.net)

0 голосов
/ 29 октября 2010

Между прочим, в Центре обновления Windows выпущено исправление для этой ошибки.

http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx

0 голосов
/ 03 октября 2010

Для этой темы может быть интересен следующий пост:

http://blog.mindedsecurity.com/2010/10/breaking-net-encryption-with-or-without.html

0 голосов
/ 22 сентября 2010

afaik выглядит так:

  • это попадания: webresource.axd и scriptresource.axd, оба используют зашифрованное / подписанное значение, которое asp.net пытается проверить, действительно ли оно
  • из-за различий в ответах, когда файлы являются недействительными, они могут выполнить атаку заполнения.
  • после успешной атаки они могут сгенерировать запрос ресурсов, как если бы он был первоначально получен изasp.net

Теперь, насколько я знал, оба из них должны служить встроенным ресурсам, но я думаю, что это не так (Скотт Гу упомянул в своих постах, что это те, которыеиспользуется в атаке показал).

0 голосов
/ 21 сентября 2010
0 голосов
/ 20 сентября 2010

Скотт Гатри имеет пост, который объясняет это в некоторой степени.

...