|
微軟9月17日發(fā)布安全預警,ASP.NET爆出最新安全漏洞, 即Microsoft Security Advisory (2416728)����。SecurityFocus上已將此漏洞定義成了"Design Error"���。此次發(fā)現(xiàn)的安全漏洞源自ASP.NET對加密組件的底層實現(xiàn), 所以它將影響所有基于ASP.NET的應用程序, 包括 Web Form 應用程序以及所有使用ASP.NET MVC 框架的應用程序. 包括xp,2003,vista,win7,2008, 2008r2等服務器版本��,以及從asp.net 1.0,2.0,3.5,4.0等版本都會受此影響,目前網(wǎng)絡上已出現(xiàn)針對此漏洞展開的攻擊行為, 并預計相關活動將會在近日大幅上升.
安恒信息(dbappsecurity)研發(fā)團隊迅速分析該漏洞��,發(fā)現(xiàn)攻擊者可以利用該漏洞做以下信息
1. 讀取服務器上的一些文件�,比如web.config, 聯(lián)系到廣大aps.net的用戶可能有90%的人是直接將數(shù)據(jù)庫密碼明文寫在web.config里面的��,該漏洞的影響可想而知��;
2. 獲取一些加密信息�,比如View State;
3. 通過發(fā)送一些修改的信息來查看一些服務器返回的error code,從而進一步攻擊
安恒研究人員發(fā)現(xiàn)��,通過一個工具��,能夠修改被AES加密過的ASP.NET窗體驗證cookie����;然后檢查返回錯誤信息;獲取Machine Key���。這個過程100%成功而且只需要30分鐘��。一旦Machine key被破解出來了���,黑客就能夠模擬出驗證 cookie。如果網(wǎng)站設計者啟動了選項���,讓安全信息放入security cookie����,那么攻擊者就能夠獲取管理員權限�。影響范圍包括:membership provider, viewstate, 保存在security cookie里面的所有信息。
發(fā)動這種攻擊�����,黑客需要通過不斷重復發(fā)送信息����,檢測返回的錯誤信息,然后了解加密算法��,最后實現(xiàn)攻擊���。安恒信息明御TM WEB應用防火墻是結合多年應用安全的攻防理論和應急響應實踐經(jīng)驗研發(fā)而成��,不需要升級或進行任何修改配置就能防范此漏洞的攻擊���。明御TM WEB應用防火墻WAF系統(tǒng)內置安全防護策略��,可以靈活定義HTTP/HTTPS錯誤返回的默認頁面�,避免因為WEB服務異常�����,導致敏感信息�����;對異常態(tài)的HTTP響應頁面進行修改過濾或者偽裝���,防止敏感信息泄露�,讓黑客無從利用實施攻擊�����,從根源上杜絕這類漏洞。
由于微軟官方?jīng)]有開發(fā)出補丁�����,因此該漏洞很可能造成嚴重的危害����。安恒信息發(fā)現(xiàn)國外黑客已經(jīng)開始對國內使用ASP.NET的部分網(wǎng)站實施惡意攻擊���,建議沒有部署安恒信息相關產品的用戶����,請盡快咨詢安恒信息技術服務人員���,以獲得臨時性解決方案�����,降低安全風險等級�����。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【1tcdy.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商���!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
