ASP.NET Security Vulnerability
今天照例閒逛到保哥的BLOG去,發現保哥發表了一篇關於ASP.NET重大資安弱點的文章,範圍還涵蓋整個ASP.NET開發的網站!參考保哥的網站之餘,趕快上網去找資料,發現點部落首頁還風平浪靜,不知道是我消息太慢大家都搞定了還是我太擔心XD,趕緊來寫一篇提醒大家一下,順便作成筆記(晚點還要去機房繼續拼)。
這次的重點是AES 演算法出錯了,詳情保哥寫的很詳細在此不再贅述,請先上網下載這隻VBS,下載之後放進disk裡,在cmd裡執行,得到以下畫面:
其中** Vulnerable configuration found **即代表你的網站有高度危險,反之則OK。
如果有就快點參考保哥的說明作補強吧,在此簡單說明給大家參考,附上研究文件整理:
http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
http://www.microsoft.com/technet/security/advisory/2416728.mspx
http://blogs.technet.com/b/msrc/archive/2010/09/17/security-advisory-2416728-released.aspx
http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx
http://blog.miniasp.com/post/2010/09/19/Security-Hack-Exposes-Forms-Authentication-in-ASPNET.aspx
http://forums.asp.net/1233.aspx
|