|
|
在上周五一個(gè)安全會(huì)議上披露了微軟ASP.NET的一個(gè)安全漏洞,利用該漏洞攻擊者可以請(qǐng)求并下載一些ASP.NET Web.config文件,攻擊者可以發(fā)送密文并根據(jù)默認(rèn)錯(cuò)誤頁(yè)信息來(lái)得到Machine Key。微軟目前并沒有新的補(bǔ)丁下載,但ScottGu在自己的博客中給出了一個(gè)臨時(shí)解決方案,這里簡(jiǎn)單翻譯一下,大家可做參考。
在ASP.NET 1.1 到 ASP.NET 3.5中,可以通過在Web.config中創(chuàng)建<customErrors>節(jié)點(diǎn)來(lái)解決,注意,ErrorMode必須設(shè)置為On,且對(duì)于所有的錯(cuò)誤都轉(zhuǎn)向同一個(gè)錯(cuò)誤頁(yè),主要是防止攻擊者根據(jù)不同的錯(cuò)誤也跳轉(zhuǎn)來(lái)猜測(cè)服務(wù)器發(fā)生了什么錯(cuò)誤:
<configuration>
<system.web>
<customErrors mode="On" defaultRedirect="~/error.html" />
</system.web>
</configuration>
在ASP.NET 3.5 SP1到ASP.NET 4.0中,在Web.config中創(chuàng)建<customErrors>節(jié)點(diǎn),設(shè)置ErrorMode為On,設(shè)置RedirectMode模式為ResponseRewrite,對(duì)于所有的錯(cuò)誤跳轉(zhuǎn)到同一個(gè)錯(cuò)誤頁(yè):
<configuration>
<system.web>
<customErrors mode="On" redirectMode="ResponseRewrite"
defaultRedirect="~/error.ASPx" />
</system.web>
</configuration>
并且ScottGu還建議在錯(cuò)誤頁(yè)的Page_Load()事件中加上如下代碼:
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %><script runat="server">
void Page_Load(){
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null){ disposable.Dispose(); }
}
</script><html>
<head id="Head1" runat="server">
<title>Error</title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
另外ScottGu也提供了一個(gè)vbs腳本,可以用來(lái)測(cè)試服務(wù)器上ASP.NET 應(yīng)用程序的<customErrors>節(jié)點(diǎn)配置,大家可以到這里下載。
參考信息:
1. Important: ASP.NET Security Vulnerability
2. Microsoft Security Advisory 2416728
3. Understanding the ASP.NET Vulnerability
4. Microsoft Security Response Center Blog Post
NET技術(shù):ASP.NET 安全漏洞臨時(shí)解決方案,轉(zhuǎn)載需保留來(lái)源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
