微软表示ASP.NET高危漏洞将波及MVC以及SharePoint

最新推荐文章于 2023-02-22 15:36:45 发布
最新推荐文章于 2023-02-22 15:36:45 发布
阅读量117 收藏
点赞数
文章标签: 测试
原文链接:http://www.cnblogs.com/lilei/archive/2010/09/21/1832568.html
版权
针对ASP.NET最近爆出的高危漏洞, 微软.NET集团高级总裁Scott9月21日在其博客上发布了最新补充说明. 概括来讲此次发现的安全漏洞源自ASP.NET对加密组件的底层实现, 所以它将影响所有基于ASP.NET的应用程序, 包括 Web Form 应用程序以及所有使用ASP.NET MVC 框架的应用程序. 受此影响, 微软其他相关产品团队也已开始研发解决方案, 包括 SharePoint, Exchange Outlook Web App 等等. 来自微软安全中心的检测显示目前网络上已出现针对此漏洞展开的攻击行为, 并预计相关活动将会在近日大幅上升. 请所有开发及维护人员及时采取临时措施加以防范.

以下是有关此次安全漏洞的技术信息:

1. Scott9月21日 发布的FAQ: http://weblogs.asp.net/scottgu/archive/2010/09/20/frequently-asked-questions-about-the-asp-net-security-vulnerability.aspx

2. 微软安全响应中心9月21日最新说明:
    http://blogs.technet.com/b/srd/

3. SharePoint 产品的修补方案:
    http://blogs.msdn.com/b/sharepoint/archive/2010/09/21/security-advisory-2416728-vulnerability-in-asp-net-and-sharepoint.aspx

4. 漏洞演示: 
    http://threatpost.com/en_us/blogs/demo-aspnet-padding-oracle-attack-091710

5. 示例程序下载(仅用于自查)
    http://netifera.com/research/

转载于:https://www.cnblogs.com/lilei/archive/2010/09/21/1832568.html

weixin_30338461
关注
SharePoint-AspNet-Authentication:Asp.Net MVCSharePoint外接身份验证中间件(通过Owin的Asp.Net Core和Asp.Net MVC 5)
05-18
SharePoint加载项Asp.Net身份验证 使用现代中间件方法对Asp.Net应用程序中的SharePoint加载项进行身份验证。 支持的Asp.Net版本: Asp.Net MVC 5 Asp.Net Core(MVC 6) 支持的加载项类型: 低信任度...
asp.net core6 MVC+SqlServer例子
01-12
在这个项目中,我们将会深入探讨ASP.NET Core 6 MVC框架与SQL Server数据库的集成,以及Visual Studio 2022的最新特性。 ASP.NET Core 6是一个跨平台的高性能开源框架,用于构建云就绪的、现代化的Web应用。相比...
ASP.NET MVC 页面使用富文本控件的XSS漏洞问题
weixin_33796177的博客
04-07 202
目前在做的项目存在XSS安全漏洞! 原因是有一些页面使用了富文本编辑框,为了使得其内容可以提交,为相关action设置了[ValidateInput(false)] 特性: [HttpPost] [ValidateInput(false)] public ActionResult MailPreview(FormColle...
ASP.Net MVC Form认证漏洞及处理
WinsonYang的专栏
02-22 438
只能清除客户端的cookies认证信息,并没有方法清除服务端里保存的认证信息,因此若获得了客户端的cookies(里面含有FormsAuthentication生成的ticket认证信息)就可以用如postman等的工具直接访问controler,直到服务端的ticket过期。请求的Controler是继承了AuthorizeAttribute,在浏览器页面中访问时正常鉴权的,而且发现AuthorizeAttribute只对浏览器页面访问生效,用接口工具不能触发。用SSL加密传输,这很普遍,不加阐述。
ASP.NET MVC Tip #46 – 勿使用Delete链接,会造成安全漏洞
食食物者,为俊杰
07-31 2298
看到篇文章,里面说了个不知道的事儿,很粗糙生硬的翻了一下,记在这里,回头研究。           路过的朋友,如感兴趣,请直接看原文,以免耽误了您的时间。            原文ASP.NET MVC Tip #46 – Don’t use Delete Links because they create Security Holes 正文         我创建了一个
asp.net mvc框架_使用ASP.NET MVC和实体框架防止常见的Web应用程序漏洞
weixin_26722031的博客
07-31 466
asp.net mvc框架Hello, I’m going to talk about three common web application vulnerabilities that every web developer must be familiar with. ^ h ELLO,我要谈的三个常见的Web应用漏洞,每一个Web开发人员必须熟悉。 I’m going to talk ab...
asp.net mvc4奇怪错误两例及解决方法
weixin_46020146的博客
08-24 60
asp.net mvc4奇怪错误两例及解决方法
ASP.NET Core MVC从入门到精通系列文章PDF版
最新发布
06-30
ASP.NET Core MVC微软开发的一款用于构建Web应用程序的框架,它是基于ASP.NET Core的一个关键组件,支持跨平台开发。这个框架采用MVC(Model-View-Controller)设计模式,为开发者提供了一种清晰的架构来组织和...
ASP.NET编程知识】把ASP.NET MVC项目部署到本地IIS上的完整步骤.docx
05-21
ASP.NET编程知识】把ASP.NET MVC项目部署到本地IIS上的完整步骤.docx
基于ASP.NET MVC项目实例
03-26
ASP.NET MVC是一种用于构建动态网站和Web应用程序的框架,它由微软开发,基于模型(Model)、视图(View)和控制器(Controller)的设计模式。本项目实例是一个商品信息管理系统,旨在帮助开发者理解MVC架构的核心概念和...
asp.net后台安全防跳过登陆
08-08
基于asp.net网站开发。后台安全控制,防止跳过登陆进入后台操作。web.config中启用form验证。
asp.net mvc 安全测试漏洞 " HTTP 动词篡改的认证旁路" 问题解决
weixin_30532837的博客
04-18 708
IBM Security Appscan漏洞筛查-HTTP 动词篡改的认证旁路漏洞,具体解决方案: 在Web.Config中system.webServer节点增加配置security: <security> <requestFiltering> <verbs allowUnlisted="false"> ...
asp.net MVC 防止Sql 漏洞攻击
tzweilai的专栏
07-03 1239
一.创建公共类 public class AntiSqlInject { /// <summary> /// 判断字符串中是否有SQL攻击代码 /// true-安全;false-有注入攻击现有 /// </summary> /// <param name="in...
asp.net MVC 常见安全问题及解决方案
weixin_30512785的博客
04-15 169
一.CSRF Example : 在登陆状态下进入了攻击网站向安全站点发送了请求。 Solution: 在view 中使用 @Html.AntiForgeryToken(), 在Action 上加上 [ValidateAntiForgeryToken] 特性。 再次点到跨域请求的时候就会显示 : “The required anti-forge...
什么是CSRF攻击,如何在ASP.NET MVC网站中阻止这种攻击?
MemoryFraction
05-12 1679
本文介绍什么是CSRF攻击,及如何在ASP.NET MVC网站应用程序中阻止CSRF攻击。
.NET MVC CSRF/XSRF 漏洞
weixin_30642561的博客
08-17 153
最近我跟一个漏洞还有一群阿三干起来了…… 背景: 我的客户是一个世界知名的药企,最近这个客户上台了一位阿三管理者,这个货上线第一个事儿就是要把现有的软件供应商重新洗牌一遍。由于我们的客户关系维护的非常好,直接对口人提前透露给我们这个管理者就是想让一个阿三公司垄断他们的软件供应,并且表示了非常鄙视。我们表示了理解,毕竟任意一家公司只要进去一个阿三,慢慢的。。。慢慢的。。。就变成满屋都是阿三。。。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值