去年ASP.NET爆出了MS10-070漏洞,也就是俗称的Padding Oracle,一直想找个网站试下,利用google搜索关键字WebResource.axd,找有此漏洞的网站,一直没有成功,今天换了关键字,成功利用此漏洞!利用的是GDSSECURITY的一款工具,虽然漏洞是利用成功了,对造成此漏洞的详细原因也了解,但对这款漏洞利用工具为什么这么用却是一头雾水,也曾经和大牛81Sec的冷锋讨论过这个问题,大牛对此也不敢肯定,回答说可能类似于WEP破解的IV收集,对此我不敢苟同!我也给工具的作者去了邮件询问,没有回应!有了解的大牛么,给吱一声!