Padding Oracle Attack,ASP.NET 最新安全漏洞

最新推荐文章于 2020-03-19 11:04:13 发布
最新推荐文章于 2020-03-19 11:04:13 发布
阅读量1.4k 收藏 1
点赞数
文章标签: asp.net oracle 加密 破解 delay 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skyhyanhust/article/details/5908351
版权

如果在ASP.NET中使用了微软默认的表单验证(也叫窗体验证)登陆模式,在请求页面后,ASP.NET会把一些信息写在ViewState中发送给客户端。ViewState本身采用采用base64加密的。base64加密算法是公开的,客户端解码后,搜索解码后的内容,找出其中一些特殊的字符串,网上一段文字如下(参考网上的一篇《详解ASP.NET的最新安全漏洞,Padding Oracle攻击原理及其他》):

Then we decode each Base64 string found. If the result looks random, and its length is a multiple of common block cipher sizes, i.e. 8, 16 or 32 bytes, then there’s a good chance that it is a ciphertext. We also look for common separators, i.e. --, | or :, which are often used to separate IV, ciphertext, or MAC. Then we replace a byte in the last block of the ciphertext by a random value, then send it back to the target, and see what changes in the response. If there is an error message, then there’s a high chance that this is a Padding Oracle.

在ViewState解码后的内容中,有一部分加密字符串,是利用 AES-CBC 加密算法 对 ASP.NET 的 machine key 进行加密得到的。上面引用的一段文字,说明了如何根据cbc加密算法的特征分辨出这段machine key加密后的内容。

AES-CBC加密过程,大概如下:首先对明文进行AES加密,然后把加密后的内容写成 “加密块链”(CBC)的格式,即每8个字节一组,不均匀、不够的部分,根据特定的规则用0填充。这个加密后的内容就称为 padding oracle。

这次的安全漏洞,就是微软的两个工作人员,用padding oracle attack破解了ASP.NET的AES-CBC加密算法。客户端分辨出machine key加密后的内容,然后每次尝试改动最后一个字节,发送给服务器,观察服务器的返回结果。

微软的IIS服务器接收到客户端篡改过的加密内容,会判断是否和发送前的内容符合,如果不符合,就会返回特定的错误码,并给出加密字符串排列(padding)是VALID、INVALID的提示。

客户端根据这些提示,反复尝试,经过 128 * b(b为加密内容的字节数)次尝试后,即可破解出machine key,从而伪造出授权的高权限cookie,可以窃取session、viewstate中的内容,可以获取web应用进程涉及到的敏感数据和文件。

网上的一篇论文( http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.63.3870&rep=rep1&type=pdf )说明了利用AES-CBC算法的padding oracle漏洞进行破解的原理。

这个漏洞不只是ASP.NET有,采用了类似方法的Web框架都有这个问题,比如Java的JSF框架。微软给出的建议:(1)设置默认的错误页面,并且不要配置特定的错误码页面。即杜绝返回提示客户端加密内容排列INVALID、VALID的信息。(2)在错误页面执行时,让线程随机等待一下:

1 void Page_Load()
2 {
3 byte[] delay = new byte[1];
4 RandomNumberGenerator prng = new RNGCryptoServiceProvider();
5 prng.GetBytes(delay);
6 Thread.Sleep((int)delay[0]);
7 IDisposable disposable = prng as IDisposable;
8 if (disposable != null) { disposable.Dispose(); }
9 }

这是因为直接攻击费时太长,padding oracle攻击利用了IIS的side-channel泄露的漏洞,并不直接等待返回结果,而是从返回结果需要的时间判断每个字节是否破解成功(破解进度与返回时间,两者应该有一定的特定关系,不过尚未查到具体资料)。所以扰乱错误页面的运行时间,也可以阻断padding oracle攻击。

skyhyanhust
关注
【漏洞篇】网络安全面试
大河之犬的博客
04-08 5515
例如我们往系统里面插入一条数据,如果此次操作的数据包被攻击者获取,又恰巧后台没有对重复内容进行验证,那么攻击者就可以利用该数据包重复的发起请求,无限制的往数据库插入数据,即使请求包是加密的也不影响,从而造成资源浪费。$$导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。变量覆盖即通过外部输入将某个变量的值给覆盖掉,可以让我们修改某些关键变量的值,可能造成越权访问、写入webshell等危害。
详解ASP.NET最新安全漏洞Padding Oracle攻击原理及其他
weixin_33881050的博客
09-20 183
微软在9月17日中午正式对外公布了ASP.NET平台下的安全漏洞,即Microsoft Security Advisory (2416728)。 SecurityFocus上已将此漏洞定义成了"Design Error",那么微软一开始的设计就是错误的,为什么这么说呢?且待我们慢慢来分析。 昨天在园友辰的一篇博文:对ASP.NET最新安全漏洞进一步跟进说明中也看到了对此问题的详细追踪,但...
ASP.NETPadding Oracle攻击
weixin_33851604的博客
03-24 263
网络犯罪和黑客攻击已经越来越受到人们的重视。之前,我们在《2010年扬名的十大WEB黑客技术》一文中了解到:2010年,排名第一的是在线网上银行交易威胁,而其中黑客所钟爱的攻击技术便是Padding Oracle,这也是在过去一年中最为流行的黑客攻击技术。那么下面,我们就引用一位网友的博客内容,了解一下ASP.NETPadding Oracle Attack相关内容。 什么是Padding和O...
MS10-070 ASP.NET Padding Oracle信息泄露漏洞项目测试
weixin_30367169的博客
01-23 949
MS10-070 ASP.NET Padding Oracle信息泄露漏洞1 漏洞描述:ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息披露漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。 此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 虽然攻击者无法利用此漏洞来执行代码或直接提升他们的用户权限,但此漏洞可用于产...
ASP.NET Padding Oracle信息泄露漏洞
hityct1的专栏
02-24 1148
http://blog.sina.com.cn/s/blog_53aab5c10102v5et.html
ASP.NET漏洞
06-04 2284
前不久微软安全响应中心发布了一处asp.NET安全漏洞,但是针对本安全漏洞分析及解决方案很少,盛大创新院产品开发部研究员赵劼最近就此安全漏洞发表了一篇博文,与大家分享他对本漏洞的一些分析及解决方案。现转载于此,供大家参考。全文如下: 上一周爆出了一个关于ASP.NET安全漏洞,有关这个漏洞的第一篇文章应该是ScottGu的说明,但是其中各方面谈的也是语焉不详。由于这个漏洞关系到“安全”这样敏
padding Oracle attack(填充Oracle攻击)
weixin_30606669的博客
03-15 1435
最近学习到一种老式的漏洞,一种基于填充字节的漏洞。就想记录下来,早在2010年的blackhat大会上,就介绍了padding Oracle漏洞,并公布了ASP.NET存在该漏洞。2011年又被评选为“最具价值的服务器端漏洞”。 我们先来简单讨论一下典型的Padding Oracle Attack基础。故名思义,Padding Oracle Attack背后的关键性概念便是加/解密时的填充...
ASP.net难点解析
NDK2010_的专栏
12-02 1万+
认识Asp.net 中相对路径与绝对路径 分类: 技术文档2010-01-1217:051490人阅读评论(1)收藏举报 好多人对相对路径与绝对路径老是混淆记不清楚,我从整理了一下,希望对大家的认识有帮助。 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1.Request.Applicat
Web中间件常见安全漏洞
KHOST的博客
03-19 8364
第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034) RCE-CVE-2017-7269 第二章:Apache 未知扩展名解析漏洞 AddHandler导致的解析漏洞 ...
asp.net安全检测工具 --Padding Oracle 检测
shanyou的专栏
09-25 629
<br />最近的一个asp.net安全缺陷,引起了社区很大的反响,博客园也有一个ASP.NETPadding Oracle安全漏洞的话题,昨天在博客上贴了一个文章ASP.NET安全隐患的临时解决方法。本文主要介绍一个检测Padding Oracle的一个工具:Ethical Hacking ASP.NET。<br />这是一个在codeplex上开源的asp.net安全检测工具,最新的1.3版本一个很重要的功能就是Padding Oracle的检测,昨天我随意的检测了一下博客园的设置,今天博客园团队进行
浅谈这次ASP.NETPadding Oracle Attack相关内容
weixin_34120274的博客
09-25 82
上一周爆出了一个关于ASP.NET安全漏洞,有关这个漏洞的第一篇文章应该是ScottGu的说明,但是其中各方面谈的也是语焉不详。由于这个漏洞关系到“安全”这样敏感的话题,其中又涉及到密码学这样常人看不明白的技术,于是导致了各种猜测和推测,其中甚至与我对ASP.NET的了解所有矛盾,因此我觉得也大都不靠谱。中秋休息在家,我简单地了解了一下与这个漏洞有关的内容,总结出了一些“能够说服自己”的内容,在...
Padding Oracle AttackASP.NET安全漏洞
收集盒 Book box
01-10 783
Now that a weekend has passed since the .NET patch was released, and since there is already a working public example of how to reliably download a web.config using the padding oracle attack, we have
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4468
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
JAVA和C# 3DES加密解密
热门推荐
那叫啥啥啥的,你过来......
11-12 1万+
最近 一个项目.net 要调用JAVA的WEB SERVICE,数据采用3DES加密,涉及到两种语言3DES一致性的问题, 下面分享一下, 这里的KEY采用Base64编码,便用分发,因为Java的Byte范围为-128至127,c#的Byte范围是0-255 核心是确定Mode和Padding,关于这两个的意思可以搜索3DES算法相关文章 一个是C#采用CBC Mode,PKCS7 Padding,Java采用CBC Mode,PKCS5Padding Padding, 另一个是C#采用ECB
ASP.NET验证控件详解
anpeifei的专栏
05-29 289
ASP.NET是微软推出的下一代WEB开发工具,其强大的功能立即吸引了一大批WEB开发者投入它的靡下。现在,我们来看看ASP.NET的验证控件,感受ASP.NET的强大功能同时方便我们现在的WEB开发。  WEB开发者特别是ASP开发者,一直对数据验证比较恼火,当你好不容易写出数据提交程序的主体以后,还不得不花大把时间去验证用户的每一个输入是否合法。如果开发者熟悉JavaScript或者VBScr
cbc一些控件操作之菜鸟上路1
御风而翔
11-03 422
 菜鸟上路······PopupMenuNode// 新建一项,并指定其响应函数。TPopupMenu *PopupMenuNode;PopupMenuNode->Items->Clear();newMenuItem = new TMenuItem(PopupMenuNode);PopupMenuNode->Items->Add(newMenuItem);newMe
ASP.NET PaddingOracle漏洞详解与利用
"MS10-070 ASP.NET PaddingOracle信息泄露漏洞是一个安全问题,主要涉及ASP.NET框架中的加密处理错误,允许攻击者通过信息泄漏来读取服务器上的加密数据,如视图状态,并可能导致数据篡改。尽管不能直接执行恶意代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值