最新ASP.NET安全漏洞详解,Padding Oracle攻击机制如何运作?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1548个文字,预计阅读时间需要7分钟。
微软于9月17日中午正式对外发布了ASP.NET平台下的安全漏洞,即Microsoft Security Advisory (2416728)。SecurityFocus已将此漏洞定义为Design Error,意味着微软一开始的设计就存在错误。为什么会有这样的说法?
微软在9月17日中午正式对外公布了ASP.NET平台下的安全漏洞,即Microsoft Security Advisory (2416728)。
SecurityFocus上已将此漏洞定义成了"Design Error",那么微软一开始的设计就是错误的,为什么这么说呢?且待我们慢慢来分析。
昨天在园友辰的一篇博文:对ASP.NET的最新安全漏洞进一步跟进说明中也看到了对此问题的详细追踪,但上午也只是粗粗浏览,下午细看时总觉文中有些地方略显含糊,所以晚上也就顺带查了些资料,略有所得,不敢独享,遂成此文!
微软的态度查看了许多微软官方的说明文档,解释的都比较简单,当然对于这个比较大的安全漏洞,不管是出于商业角度的考虑还是对现有.NET架构网站的保护,我们都暂且不去谈论它,但我想攻防该有的一条策略就是:知己知彼,百战不殆!
首先,比较长的一篇文章就是ScottGu的这篇:Important: ASP.NET Security Vulnerability。
在这篇文章中,其主要谈及了此漏洞的影响,简单提及了一下此漏洞产生的原因,下面就是微软教科书式的解决方案了。
本文共计1548个文字,预计阅读时间需要7分钟。
微软于9月17日中午正式对外发布了ASP.NET平台下的安全漏洞,即Microsoft Security Advisory (2416728)。SecurityFocus已将此漏洞定义为Design Error,意味着微软一开始的设计就存在错误。为什么会有这样的说法?
微软在9月17日中午正式对外公布了ASP.NET平台下的安全漏洞,即Microsoft Security Advisory (2416728)。
SecurityFocus上已将此漏洞定义成了"Design Error",那么微软一开始的设计就是错误的,为什么这么说呢?且待我们慢慢来分析。
昨天在园友辰的一篇博文:对ASP.NET的最新安全漏洞进一步跟进说明中也看到了对此问题的详细追踪,但上午也只是粗粗浏览,下午细看时总觉文中有些地方略显含糊,所以晚上也就顺带查了些资料,略有所得,不敢独享,遂成此文!
微软的态度查看了许多微软官方的说明文档,解释的都比较简单,当然对于这个比较大的安全漏洞,不管是出于商业角度的考虑还是对现有.NET架构网站的保护,我们都暂且不去谈论它,但我想攻防该有的一条策略就是:知己知彼,百战不殆!
首先,比较长的一篇文章就是ScottGu的这篇:Important: ASP.NET Security Vulnerability。
在这篇文章中,其主要谈及了此漏洞的影响,简单提及了一下此漏洞产生的原因,下面就是微软教科书式的解决方案了。