看到javaeye的新闻:
如果报道属实,asp.net的"敌友"们就真的杯具了。
原文转载:
详细可查看http://www.hetaoblog.com/ms-asp-net-security-2416728/
微软官方团队于2010年9月17日发布一个asp.net几乎所有平台所有版本的严重安全漏洞
http://www.microsoft.com/technet/security/advisory/2416728.mspx
该漏洞影响几乎所有平台,包括xp,2003,vista,win7,2008, 2008r2等服务器版本,以及从asp.net 1.0,2.0,3.5,4.0等版本;
攻击者可以利用该漏洞做以下信息
1. 读取服务器上的一些文件,比如web.config, 联系到广大aps.net的用户可能有90%的人是直接将数据库密码明文写在web.config里面的,该漏洞的影响面那真是。。。。
2. 获取一些加密信息,比如View State;
3. 通过发送一些修改的信息来查看一些服务器返回的error code,从而进一步攻击
万幸,目前该漏洞不允许攻击者在上面执行代码,如果这样的话那估计明天全世界,至少全中国的asp.net服务器就立刻要悲剧了。。。