MS10-070 ASP.NET Padding Oracle信息泄露漏洞
1 漏洞描述:
ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息披露漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 虽然攻击者无法利用此漏洞来执行代码或直接提升他们的用户权限,但此漏洞可用于产生信息,这些信息可用于试图进一步危及受影响系统的安全。
2 漏洞标识符:
Bugtraq ID: 43316
CVE: CVE-2010-3332
3 受影响系统
Microsoft .NET Framework 4.0
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 1.0 SP3
4 漏洞解决办法:
4.1 临时解决办法:
* 启用ASP.NET自定义错误并将所有的错误代码都映射到相同的出错页面。
* 创建包含有通用出错消息的error.html文件并保存到根目录。
4.2 微软补丁:
微软已经为此发布了一个安全公告(MS10-070)以及相应补丁:
MS10-070 ASP.NET Padding Oracle信息泄露漏洞项目测试
最新推荐文章于 2017-02-24 11:20:17 发布
本文详细介绍了MS10-070 ASP.NET Padding Oracle信息泄露漏洞,包括漏洞描述、受影响系统和解决办法。讨论了如何寻找WebResource.axd并利用padBuster.pl和Webconfig Bruter.pl进行漏洞利用,以读取web.config文件,对于外网服务器,可能引发更严重后果。
摘要由CSDN通过智能技术生成