ASP.NET - Уязвимость безопасности (криптографические оракулы) и веб-сервисы

Question

Только что прочитал об этой уязвимости безопасности ASP.NET.

Просто интересно, можно ли это использовать для атаки на службу WCF, размещенную под IIS, чтобы получить доступ к его web.config, или если это чисто уязвимость ASP.NET

Answer 1

Да, вы можете быть затронуты.

Мне трудно понять все детали этой атаки, но это фундаментальная проблема с ASP.Net, и все, что на ней работает, затронуто.

Если кто-то может добраться до вашего сервера, он может отправить неверный запрос, получить страницу с ошибкой и продолжить атаку.

Другие люди специально спрашивали об услугах, и было упомянуто, что они затронуты.

Answer 2

Я не могу понять, как кто-то может атаковать Службу WCF, используя технику Oracle.

В любом случае WCF нужен хороший дизайн и меры по обеспечению безопасности, потому что сами по себе есть функции, которые возвращают данные без какой-либо проверки, кроме случаев, когда вы создаете эту проверку.

Также: Насколько серьезна эта новая уязвимость безопасности ASP.NET и как ее можно обойти?

Answer 3

Между прочим, в Центре обновления Windows выпущено исправление для этой ошибки.

http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx