Oracle パディング エクスプロイトに関する SO に関する質問がすでにいくつかあることは知っていますが、どのように web.config をダウンロードするかを説明しているものはありません。私はいくつかの ASP .NET アプリを実行しており、Microsoft が推奨する緩和要素を使用して既にテストしていますが、人々が web.config を取得できるのではないかと心配しています。
誰かがこれを行う方法を説明したり、自分のサイトをテストするために使用できるツールへのリンクを提供したりできますか. 攻撃のこの部分に関する公式の説明は、本当に不足していると思います。
一般に公開された攻撃は、ファイル (通常は JavaScript と CSS) のダウンロードを可能にし、要求の一部として送信されるキーで保護される ASP.NET の機能に依存しています。残念ながら、キーを偽造できる場合は、この機能を使用してアプリケーションの web.config ファイルをダウンロードできます (ただし、アプリケーション外のファイルはダウンロードできません)。
みんな-答えは、machineKeyを取得したら、そのキーを使用して、ASP.NETの別の機能を使用してファイルを取得できるということです
「ASP.NET 3.5 Service Pack 1 および ASP.NET 4.0 には、アプリケーションからファイルを提供するために使用される機能があります。この機能は通常、マシン キーによって保護されています。ただし、マシン キーが侵害された場合、この機能はThis going directly to ASP.NET and not IIS so IIS's security settings do not apply. この機能が侵害されると、攻撃者はアプリケーションからファイルをダウンロードできます。
ASP.NET 3.5 SP1 より前のバージョンの ASP.NET にはこの機能がありませんが、依然としてメイン マシン キー攻撃に対して脆弱です。」
(ここの下部にある投稿を参照してください: http://forums.asp.net/t/1603799.aspx asp.net チームから)
参考までに、このバグに対するパッチが Windows Update でリリースされました。
http://weblogs.asp.net/scottgu/archive/2010/09/30/asp-net-security-fix-now-on-windows-update.aspx
このブログ投稿は非常に興味深いものです: http://www.gdssecurity.com/l/b/
こちらもお読みください: この新しい ASP.NET セキュリティの脆弱性はどれほど深刻で、どのように回避すればよいですか?
Scott Guthrieには、それをある程度説明する投稿があります。
それは次のようになります。
さて、私の知る限り、これらは両方とも埋め込みリソースを提供するはずですが、そうではないと思います (Scott Gu は、彼の投稿のコメントで、それらが攻撃で使用されていることを示しました)。
次の投稿は、このスレッドにとって興味深いものになる可能性があります。
http://blog. Mindsecurity.com/2010/10/breaking-net-encryption-with-or-without.html