MS10-070 ASP.NET Padding Oracle信息泄露漏洞项目测试

最新推荐文章于 2017-02-24 11:20:17 发布
最新推荐文章于 2017-02-24 11:20:17 发布
阅读量3.7k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h4ck0ne/article/details/50570788
版权
本文详细介绍了MS10-070 ASP.NET Padding Oracle信息泄露漏洞,包括漏洞描述、受影响系统和解决办法。讨论了如何寻找WebResource.axd并利用padBuster.pl和Webconfig Bruter.pl进行漏洞利用,以读取web.config文件,对于外网服务器,可能引发更严重后果。
摘要由CSDN通过智能技术生成

MS10-070 ASP.NET Padding Oracle信息泄露漏洞
1         漏洞描述:
ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息披露漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 虽然攻击者无法利用此漏洞来执行代码或直接提升他们的用户权限,但此漏洞可用于产生信息,这些信息可用于试图进一步危及受影响系统的安全。
2         漏洞标识符:
Bugtraq ID: 43316
CVE: CVE-2010-3332
3         受影响系统
Microsoft .NET Framework 4.0
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 1.0 SP3
4         漏洞解决办法:
4.1        临时解决办法:
* 启用ASP.NET自定义错误并将所有的错误代码都映射到相同的出错页面。
* 创建包含有通用出错消息的error.html文件并保存到根目录。
4.2        微软补丁:
微软已经为此发布了一个安全公告(MS10-070)以及相应补丁:

最低0.47元/天 解锁文章
「已注销」
关注
详解ASP.NET的最新安全漏洞Padding Oracle攻击原理及其他
weixin_33881050的博客
09-20 183
微软在9月17日中午正式对外公布了ASP.NET平台下的安全漏洞,即Microsoft Security Advisory (2416728)。 SecurityFocus上已将此漏洞定义成了"Design Error",那么微软一开始的设计就是错误的,为什么这么说呢?且待我们慢慢来分析。 昨天在园友辰的一篇博文:对ASP.NET的最新安全漏洞进一步跟进说明中也看到了对此问题的详细追踪,但...
oracle 认证信息泄露,产品技术-微软安全公告 MS10-070 ASP.NET Padding Oracle信息泄露漏洞(2418042)-新华三集团-H3C...
weixin_30518613的博客
04-15 548
1 漏洞描述:ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息披露漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 虽然攻击者无法利用此漏洞来执行代码或直接提升他们的用户权限,但此漏洞可用于产生信息,这些信息可用于试图进一步危及受影响系统的安全。2 漏洞...
ASP.NET Padding Oracle信息泄露漏洞
hityct1的专栏
02-24 1155
http://blog.sina.com.cn/s/blog_53aab5c10102v5et.html
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
08-08
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
MS10-070ASP.NETPaddingOracle信息泄露漏洞
03-02
我记得这个漏洞在12年的时候,国内的资料还很少,...ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息泄漏漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。此漏洞还可以用于数据
window2008R2 X64 .NET Framework 3.5.1 Padding Oracle MS10-070漏洞
06-07
用于修复 window2008R2 X64 .NET Framework 3.5.1 ASP.NET Padding Oracle 漏洞MS10-070
Padding Oracle Attack,ASP.NET 最新安全漏洞
Hunter的专栏
09-26 1416
<br />如果在ASP.NET中使用了微软默认的表单验证(也叫窗体验证)登陆模式,在请求页面后,ASP.NET会把一些信息写在ViewState中发送给客户端。ViewState本身采用采用base64加密的。base64加密算法是公开的,客户端解码后,搜索解码后的内容,找出其中一些特殊的字符串,网上一段文字如下(参考网上的一篇《详解ASP.NET的最新安全漏洞Padding Oracle攻击原理及其他》):<br /><br />Then we decode each Base64 string fo
ms10-070利用padBuster.pl
11-11
利用ms10-070 ASP.NET Padding Oracle信息泄露漏洞,可以读到web.config等重要文件。
asp.net安全检测工具 --Padding Oracle 检测
shanyou的专栏
09-25 631
<br />最近的一个asp.net安全缺陷,引起了社区很大的反响,博客园也有一个ASP.NETPadding Oracle安全漏洞的话题,昨天在博客上贴了一个文章ASP.NET安全隐患的临时解决方法。本文主要介绍一个检测Padding Oracle的一个工具:Ethical Hacking ASP.NET。<br />这是一个在codeplex上开源的asp.net安全检测工具,最新的1.3版本一个很重要的功能就是Padding Oracle的检测,昨天我随意的检测了一下博客园的设置,今天博客园团队进行
ms10-070详细利用方法
H4ck3x的专栏
06-16 4964
作者:hrayha之前搞一个目标站的时候用WVS扫描,出现”asp.net padding oracle ”这么一条高危漏洞,由于之前没听说过,便到网上查了一下资料。这技术其实是去年被发现的,还有一个称呼是ms10-070,不过目前国内研究的人好像还不多,查到的资料几乎都是国外的,其实这技术的危害性还是很巨大的,就拿针对asp.net来说,可以读出web.config等一些敏感文件的内容,具体
微软 asp.net所有版本被发现严重安全漏洞2416728
hetaoblog的专栏
10-07 2909
<br />作者: 核桃博客 |<br />网址:http://www.hetaoblog.com/ms-asp-net-security-2416728/<br />本博客所有文章全部原创,欢迎转载,<br />但必须以超链接形式标明文章原始出处和作者信息及版权声明<br /> <br />微软官方团队于2010年9月17日发布一个asp.net几乎所有平台所有版本的严重安全漏洞<br />http://www.microsoft.com/technet/security/advisory/24167
asp.net错误信息以及处理方法
尘封飞扬
05-05 1232
操作必须使用一个可更新的查询。说明: 执行当前 Web 请求期间,出现未处理的异常。请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息。异常详细信息: System.Data.OleDb.OleDbException: 操作必须使用一个可更新的查询。源错误:行 27: ds.Tables("users").Rows.Add(drow) 行 28:以上代码为DataSet增加一个
asp.net虚拟主机的路径泄露问题
liswa 电脑备忘录
06-07 1438
       学习asp.net的时候发现,asp.net会把站点的asp.net的代码作临时编译(我是这样理解的,可能这样的说法不是很对)放在WINDOWS/Microsoft.NET/Framework/v1.1.4322/Temporary ASP.NET Files (如果使用的是2.0的frameworks,那么就是WINDOWS/Microsoft.NET/Framework/v2.0
ASP.NET常见漏洞
www.i201314.net
07-16 5391
未隐藏错误讯息  开发人员常会将方便排错,但正式上线时却忘了移除,导致一旦程序出错,相关程序代码细节甚至程序片段就赤裸裸地展示出来。黑客可能由其中找到相关的文件位置、数据库信息、组件版本... 等信息,提供入侵的指引。关闭Request Validation  依Hunt的统计,近30%的网站豪迈地关闭了全站的Request验证。若真有需要,针对页面关闭就好,至少伤害面变小,但如果心有余力,避
ASP.NET 如何:显示安全错误信息
weixin_30315905的博客
08-08 413
ASP.NET 如何:显示安全错误信息 在您的应用程序显示错误信息时,它不应该泄露有助于恶意用户攻击您系统的信息。例如,如果您的应用程序试图登录数据库时没有成功,则显示的错误信息不应该包括它正在使用的用户名。 有许多方法可以控制错误信息,包括: 1.将应用程序配置为不向远程用户显示详细错误信息。(远程用户是指在 Web 服务器计算机上工作但未请求页的用户。)您也可以选择将错误重定向到...
ASP.NET PaddingOracle漏洞详解与利用
"MS10-070 ASP.NET PaddingOracle信息泄露漏洞是一个安全问题,主要涉及ASP.NET框架中的加密处理错误,允许攻击者通过信息泄漏来读取服务器上的加密数据,如视图状态,并可能导致数据篡改。尽管不能直接执行恶意代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值