Эксплойт с Oracle padding - как он загружает web.config?

Question

Я знаю, что на SO уже есть несколько вопросов об эксплойте с заполнением оракула, но ни один из них не объясняет, как он загружает web.config.Я запускаю несколько приложений ASP .NET, которые я уже тестировал, используя рекомендованные Microsoft факторы смягчения, но я все еще боюсь, что люди смогут получить web.config.

Может кто-нибудь объяснить, как они это делают, или даже дать ссылку на инструмент, с помощью которого я могу протестировать свой сайт.Я считаю, что официальное объяснение этой части атаки действительно отсутствует.

Атака, которая была показана публике, основывается на функции в ASP.NET, которая позволяет файлы (обычно javascript и css)быть загруженным, и который защищен ключом, который отправляется как часть запроса.К сожалению, если вы можете подделать ключ, вы можете использовать эту функцию для загрузки файла web.config приложения (но не файлов вне приложения).

Answer 1

Ребята - ответ таков: как только они получили machineKey, они могут использовать этот ключ для извлечения файлов, используя другую функцию в ASP.NET

"В ASP.NET 3.5 с пакетом обновления 1 и ASP.NET 4.0 есть функция, которая используется для обслуживания файлов из приложения. Обычно эта функция защищена ключом компьютера. Однако, если ключ компьютера скомпрометирован, то Эта функция скомпрометирована. Это относится непосредственно к ASP.NET, а не к IIS, поэтому параметры безопасности IIS не применяются. После того, как эта функция скомпрометирована, злоумышленник может загрузить файлы из вашего приложения, включая файл web.config, который часто содержит пароли.

Версии ASP.NET до ASP.NET 3.5 с пакетом обновления 1 (SP1) не имеют этой функции, но все еще уязвимы для атаки с помощью основного ключа компьютера. "

(см. Сообщение внизу здесь: http://forums.asp.net/t/1603799.aspx от команды asp.net)

Answer 2

Между прочим, в Центре обновления Windows выпущено исправление для этой ошибки.

http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx

Answer 3

Для этой темы может быть интересен следующий пост:

http://blog.mindedsecurity.com/2010/10/breaking-net-encryption-with-or-without.html

Answer 4

afaik выглядит так:

• это попадания: webresource.axd и scriptresource.axd, оба используют зашифрованное / подписанное значение, которое asp.net пытается проверить, действительно ли оно
• из-за различий в ответах, когда файлы являются недействительными, они могут выполнить атаку заполнения.
• после успешной атаки они могут сгенерировать запрос ресурсов, как если бы он был первоначально получен изasp.net

Теперь, насколько я знал, оба из них должны служить встроенным ресурсам, но я думаю, что это не так (Скотт Гу упомянул в своих постах, что это те, которыеиспользуется в атаке показал).

Answer 5

Этот пост довольно интересен: http://www.gdssecurity.com/l/b/

также прочитайте это: Насколько серьезна эта новая уязвимость безопасности ASP.NET и как я могу ее обойти?

Answer 6

Скотт Гатри имеет пост, который объясняет это в некоторой степени.