微软 asp.net所有版本被发现严重安全漏洞2416728

作者: 核桃博客 |

网址:http://www.hetaoblog.com/ms-asp-net-security-2416728/

本博客所有文章全部原创,欢迎转载,

但必须以超链接形式标明文章原始出处和作者信息及版权声明

 

微软官方团队于2010年9月17日发布一个asp.net几乎所有平台所有版本的严重安全漏洞

http://www.microsoft.com/technet/security/advisory/2416728.mspx

该漏洞影响几乎所有平台,包括xp,2003,vista,win7,2008, 2008r2等服务器版本,以及从asp.net 1.0,2.0,3.5,4.0等版本;

攻击者可以利用该漏洞做以下信息

1.    读取服务器上的一些文件,比如web.config, 联系到广大aps.net的用户可能有90%的人是直接将数据库密码明文写在web.config里面的,该漏洞的影响面那真是。。。。

2.    获取一些加密信息,比如View State;

3.    通过发送一些修改的信息来查看一些服务器返回的error code,从而进一步攻击

万幸,目前该漏洞不允许攻击者在上面执行代码,如果这样的话那估计明天全世界,至少全中国的asp.net服务器就立刻要悲剧了。。。

目前微软正在紧急开发一个安全更新patch,微软号称“Microsoft will release the security update once it has reached an appropriate level of quality for broad distribution.”,意思是如果该patch的质量达到公共发布的程度就会立刻发布,上帝啊!观众看到这个质量会有怎么样的想法?

微软临时的建议主要是是在web.config里面修改一些关于error code的显示,具体可以参照微软说明或者scott gu的说明;

http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

微软官方的说明是” help block known attack vectors”,该方法阻止已知的攻击手段;Scott Gu认为可以屏蔽基于这个漏洞的攻击;

微软的其他建议是:keep windows updated, 上帝啊,用windows做服务器一年会有多少次担心受怕和自动重启?

scott gu提供了下面的工具用于检查是否存在该漏洞

http://www.asp.net/media/782788/detectcustomerrorsdisabledv30.zip

关于网站安全,前段时间江湖传闻国内著名的某IT社区是明文存储用户密码然后全部被爆,不知真假;

不过csdn和blogjava等都是基于asp.net的,建议相关社区的技术负责人赶紧仔细阅读下微软说明检查下自己的设置;

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值