攻击者以ASP.NET加密漏洞为攻击目标

安全
微软发布警告称目前已经发现可以利用ASP.NET加密漏洞的攻击。

微软发布警告称目前已经发现可以利用ASP.NET加密漏洞的攻击。

该漏洞影响微软的.NET framework,该框架几乎在所有的Windows版本上运行。在两名研究员发布Padding Oracle Exploit Tool(可自动找出和利用ASP.NET Web应用程序中的加密padding Oracle漏洞)后不几天,该攻击就开始了。

攻击通过欺骗Web服务器,在服务器返回的错误信息中寻找敏感信息。Web服务器返回的错误信息可以被攻击者用来破解AES加密。

在微软安全响应中心博客上,微软响应通信组经理Jerry Bryant说微软已确定他们的一些客户的系统正在经历这种攻击。研究人员私自泄露该漏洞的可能性不大。

Bryant写道,“和往常一样,我们继续鼓励基于社区的防御。我们认为一旦漏洞详情向公众公布,该漏洞被利用的风险就会大大增加。如果不通过协作来提供安全更新或合适的指南,风险就会扩大。”

OWASP Foundation主席和Web应用程序测试商Aspect Security的CEO Jeff Williams说该漏洞很严重,但是许多开发者和安全团队能修复易受感染的应用程序。ASP.NET应用程序在网络上占Web应用程序的比例为25%到30%,但是现在许多企业在Java 或PHP中开发Web应用程序。

Williams说,“可以想象的是许多其他种类的环境也容易受到这种类型的攻击,所以人们应该意识到这点。但这个问题并不是很难修复的。”

Padding oracle漏洞影响加密的执行,研究社区在2002年就已经了解这个问题。据POET工具的研究者Juliano Rizzo和Thai Duong说,Ruby on Rails和OWASP企业安全API工具包也可能会受到该漏洞的影响。Rizzo在研究论文上写了关于padding攻击技术的文章。

微软安全工程师在安全研究和防御博客上概述了ASP.NET漏洞。并且在博客中发表了可以用来发现易感染的ASP.NET应用程序的脚本。微软在ASP.NET安全咨文中建议用户将Web应用程序返回的错误信息设置为一致的信息,从而增加攻击者使用技术进行攻击的难度。

【编辑推荐】

  1. ASP.NET中MD5和SHA1加密的几种方法
  2. ASP.NET安全身份验证的实现
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2021-03-15 13:56:00

DDoS攻击加密货币

2021-11-04 05:48:43

SSL加密攻击勒索软件

2014-08-20 09:44:57

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击

2021-04-22 09:33:37

Azure漏洞攻击

2021-09-16 10:16:29

勒索软件恶意软件安全

2020-02-04 10:34:57

网络安全网络罪犯技术

2018-06-13 08:01:54

2011-01-26 11:09:07

2012-06-13 09:26:46

2014-10-08 09:25:30

2022-04-19 16:06:32

加密货币网络攻击漏洞

2021-09-03 14:59:10

Linux漏洞攻击

2021-09-26 05:44:07

漏洞攻击黑客

2021-04-29 09:36:23

攻击漏洞Kubernetes

2020-06-30 09:41:23

漏洞网络安全DNS

2009-07-22 17:48:47

2024-10-18 17:10:45

2024-12-19 15:13:26

2021-10-31 07:22:46

TikTok恶意广告恶意软件
点赞
收藏

51CTO技术栈公众号