[备忘]ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件
2010-09-18 23:41
411 查看
微软安全响应中心今天中午发布最新安全预警, 提醒广大ASP.NET用户防范一处新安全漏洞. 攻击者可利用存在于ASP.NET加密模块的一处最新漏洞访问到包括web.config在内的任何文件. 此漏洞存在于ASP.NET所有已发布的版本中, 其影响程度不容小视. 目前尚无补丁发布. 请广大开发和维护人员加强防范.
据悉, ASP.Net 加密模块中新公开的漏洞可使攻击者解密并篡改任意加密数据。 如果 ASP.Net 应用程序使用的是 ASP.Net 3.5 SP1 或更高版本,攻击者可以使用此加密漏洞请求 ASP.Net 应用程序中的任意文件的内容。 网络上一些已流传开的攻击案例显示出攻击者可以利用该加密漏洞获取 web.config 文件的内容。 实际上一旦攻击者获取了web应用程序worker process的访问权限, 他即有权访问的应用程序中的任意文件。
有关该漏洞的详细信息, 请访问: http://www.microsoft.com/technet/security/advisory/2416728.mspx
更多信息请见:http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
漏洞扫描工具下载:http://www.asp.net/media/782788/detectcustomerrorsdisabledv30.zip
漏洞扫描工具使用:
1、解压zip文件,释放DetectCustomErrorsDisabled3.vbs文件到硬盘
2、使用cmd命令提示符工具,进入释放DetectCustomErrorsDisabled3.vbs的文件夹,执行:cscript DetectCustomErrorsDisabled3.vbs
引用:http://www.senparc.com/News-390.xhtml
据悉, ASP.Net 加密模块中新公开的漏洞可使攻击者解密并篡改任意加密数据。 如果 ASP.Net 应用程序使用的是 ASP.Net 3.5 SP1 或更高版本,攻击者可以使用此加密漏洞请求 ASP.Net 应用程序中的任意文件的内容。 网络上一些已流传开的攻击案例显示出攻击者可以利用该加密漏洞获取 web.config 文件的内容。 实际上一旦攻击者获取了web应用程序worker process的访问权限, 他即有权访问的应用程序中的任意文件。
有关该漏洞的详细信息, 请访问: http://www.microsoft.com/technet/security/advisory/2416728.mspx
更多信息请见:http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
漏洞扫描工具下载:http://www.asp.net/media/782788/detectcustomerrorsdisabledv30.zip
漏洞扫描工具使用:
1、解压zip文件,释放DetectCustomErrorsDisabled3.vbs文件到硬盘
2、使用cmd命令提示符工具,进入释放DetectCustomErrorsDisabled3.vbs的文件夹,执行:cscript DetectCustomErrorsDisabled3.vbs
引用:http://www.senparc.com/News-390.xhtml
相关文章推荐
- ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件
- ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件
- 【转】ASP.NET惊爆新安全漏洞 攻击者可访问任意文件
- ASP.NET惊爆新安全漏洞 攻击者可访问任意文件
- ASP.NET惊爆新安全漏洞 攻击者可访问任意文件
- 要将 ASP.NET 访问权限授予某个文件,请在资源管理器中右击该文件,选择“属性”,然后选择“安全”选项卡。单击“添加”添加适当的用户或组。突出显示 ASP.NET 帐户,选中所需访问权限对应的框。
- ASP.NET数据库编程之处理文件访问许可
- ASP.NET+DLL+DLL读取配置文件(DLL中访问数据库和WebService)
- asp.net对于图像文件的操作--存储、读取访问
- ASP.NET 保证数据访问的安全
- asp.net项目中通过Web.config配置文件及文件夹的访问权限!
- Asp.net 网站发布到服务器后 访问报错:这是预编译工具生成的标记文件,不应删除!
- ASP.NET应用程序资源访问安全模型
- ASP.NET虚拟主机安全漏洞解决方案
- ASP.NET 代码访问安全 (Code Access Security)
- 《ASP.NET基于表单的验证实现网上安全访问,管理》
- ASP.NET虚拟主机安全漏洞解决方案 【 这篇文章不错 】
- 对ASP.NET的最新安全漏洞进一步跟进说明
- 对ASP.NET的最新安全漏洞进一步跟进说明(转)
- ASP.NET虚拟主机安全漏洞解决方案