微軟發(fā)布警告稱目前已經(jīng)發(fā)現(xiàn)可以利用ASP.NET加密漏洞的攻擊。

該漏洞影響微軟的.NET framework，該框架幾乎在所有的Windows版本上運行。在兩名研究員發(fā)布Padding Oracle Exploit Tool（可自動找出和利用ASP.NET Web應(yīng)用程序中的加密padding Oracle漏洞）后不幾天，該攻擊就開始了。

攻擊通過欺騙Web服務(wù)器，在服務(wù)器返回的錯誤信息中尋找敏感信息。Web服務(wù)器返回的錯誤信息可以被攻擊者用來破解AES加密。

在微軟安全響應(yīng)中心博客上，微軟響應(yīng)通信組經(jīng)理Jerry Bryant說微軟已確定他們的一些客戶的系統(tǒng)正在經(jīng)歷這種攻擊。研究人員私自泄露該漏洞的可能性不大。

Bryant寫道，“和往常一樣，我們繼續(xù)鼓勵基于社區(qū)的防御。我們認為一旦漏洞詳情向公眾公布，該漏洞被利用的風險就會大大增加。如果不通過協(xié)作來提供安全更新或合適的指南，風險就會擴大?！?/P>

OWASP Foundation主席和Web應(yīng)用程序測試商Aspect Security的CEO Jeff Williams說該漏洞很嚴重，但是許多開發(fā)者和安全團隊能修復(fù)易受感染的應(yīng)用程序。ASP.NET應(yīng)用程序在網(wǎng)絡(luò)上占Web應(yīng)用程序的比例為25%到30%，但是現(xiàn)在許多企業(yè)在Java 或PHP中開發(fā)Web應(yīng)用程序。

Williams說，“可以想象的是許多其他種類的環(huán)境也容易受到這種類型的攻擊，所以人們應(yīng)該意識到這點。但這個問題并不是很難修復(fù)的?！?/P>

Padding oracle漏洞影響加密的執(zhí)行，研究社區(qū)在2002年就已經(jīng)了解這個問題。據(jù)POET工具的研究者Juliano Rizzo和Thai Duong說，Ruby on Rails和OWASP企業(yè)安全API工具包也可能會受到該漏洞的影響。Rizzo在研究論文上寫了關(guān)于padding攻擊技術(shù)的文章。

微軟安全工程師在安全研究和防御博客上概述了ASP.NET漏洞。并且在博客中發(fā)表了可以用來發(fā)現(xiàn)易感染的ASP.NET應(yīng)用程序的腳本。微軟在ASP.NET安全咨文中建議用戶將Web應(yīng)用程序返回的錯誤信息設(shè)置為一致的信息，從而增加攻擊者使用技術(shù)進行攻擊的難度。

【編輯推薦】

1. ASP.NET中MD5和SHA1加密的幾種方法
2. ASP.NET安全身份驗證的實現(xiàn)