微軟發(fā)布警告稱目前已經(jīng)發(fā)現(xiàn)可以利用ASP.NET加密漏洞的攻擊。

該漏洞影響微軟的.NET framework，該框架幾乎在所有的Windows版本上運(yùn)行。在兩名研究員發(fā)布Padding Oracle Exploit Tool（可自動(dòng)找出和利用ASP.NET Web應(yīng)用程序中的加密padding Oracle漏洞）后不幾天，該攻擊就開(kāi)始了。

攻擊通過(guò)欺騙Web服務(wù)器，在服務(wù)器返回的錯(cuò)誤信息中尋找敏感信息。Web服務(wù)器返回的錯(cuò)誤信息可以被攻擊者用來(lái)破解AES加密。

在微軟安全響應(yīng)中心博客上，微軟響應(yīng)通信組經(jīng)理Jerry Bryant說(shuō)微軟已確定他們的一些客戶的系統(tǒng)正在經(jīng)歷這種攻擊。研究人員私自泄露該漏洞的可能性不大。

Bryant寫(xiě)道，“和往常一樣，我們繼續(xù)鼓勵(lì)基于社區(qū)的防御。我們認(rèn)為一旦漏洞詳情向公眾公布，該漏洞被利用的風(fēng)險(xiǎn)就會(huì)大大增加。如果不通過(guò)協(xié)作來(lái)提供安全更新或合適的指南，風(fēng)險(xiǎn)就會(huì)擴(kuò)大?！?/P>

OWASP Foundation主席和Web應(yīng)用程序測(cè)試商Aspect Security的CEO Jeff Williams說(shuō)該漏洞很嚴(yán)重，但是許多開(kāi)發(fā)者和安全團(tuán)隊(duì)能修復(fù)易受感染的應(yīng)用程序。ASP.NET應(yīng)用程序在網(wǎng)絡(luò)上占Web應(yīng)用程序的比例為25%到30%，但是現(xiàn)在許多企業(yè)在Java 或PHP中開(kāi)發(fā)Web應(yīng)用程序。

Williams說(shuō)，“可以想象的是許多其他種類的環(huán)境也容易受到這種類型的攻擊，所以人們應(yīng)該意識(shí)到這點(diǎn)。但這個(gè)問(wèn)題并不是很難修復(fù)的?！?/P>

Padding oracle漏洞影響加密的執(zhí)行，研究社區(qū)在2002年就已經(jīng)了解這個(gè)問(wèn)題。據(jù)POET工具的研究者Juliano Rizzo和Thai Duong說(shuō)，Ruby on Rails和OWASP企業(yè)安全API工具包也可能會(huì)受到該漏洞的影響。Rizzo在研究論文上寫(xiě)了關(guān)于padding攻擊技術(shù)的文章。

微軟安全工程師在安全研究和防御博客上概述了ASP.NET漏洞。并且在博客中發(fā)表了可以用來(lái)發(fā)現(xiàn)易感染的ASP.NET應(yīng)用程序的腳本。微軟在ASP.NET安全咨文中建議用戶將Web應(yīng)用程序返回的錯(cuò)誤信息設(shè)置為一致的信息，從而增加攻擊者使用技術(shù)進(jìn)行攻擊的難度。

【編輯推薦】

1. ASP.NET中MD5和SHA1加密的幾種方法
2. ASP.NET安全身份驗(yàn)證的實(shí)現(xiàn)