关于 ASP.NET 漏洞的进一步信息
2010-09-24 13:51
525 查看
《本文转译自 Security Research & Defense 博客文章“Additional Information about the ASP.NET Vulnerability”》
近日,我们收到了一些关于 ASP.NET 漏洞的进一步的问题。在这篇文章中,我们将就其中最为常见的一些问题给出答复。
我的 ASP.NET 站点受这个漏洞影响吗?
受影响,所有使用 ASP.NET 的站点都受到这个漏洞的影响。您可以采用 安全通报 中列出的推荐措施,其中的变通方案能够帮助您加固服务器防止受到相关攻击。在 之前的博客文章 中,我们还提供了一个脚本,能够帮助您确认这种加固方法对您的 ASP.NET 站点是否有效。
我的站点已经受到攻击了吗?
公开的攻击方法会导致 Web 服务器向恶意的客户端回复数千(甚至上万)个错误代码为500和404的 HTTP 响应消息。您可以使用防火墙的状态过滤机制或网络中的入侵检测系统来检测出这样的模式,进而阻止潜在的攻击者。IIS 7支持的动态 IP 限制模块 (Dynamic IP Restrictions module) 也能够用来阻止这类攻击。
另外,如果您的站点已受到攻击,您可以在应用程序事件日志中看到类似下面的警告:
Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 11/11/1111 11:11:11 AM
Event time (UTC): 11/11/1111 11:11:11 AM
Event ID: 28e71767f3484d1faa90026f0947e945
Event sequence: 133482
Event occurrence: 44273
Event detail code: 0
Application information:
Application domain: c1db5830-1-129291000036654651
Trust level: Full
Application Virtual Path: /
Application Path: C:/foo/TargetWebApplication/
Machine name: FOO
Process information:
Process ID: 3784
Process name: WebDev.WebServer40.exe
Account name: foo
Exception information:
Exception type: CryptographicException
Exception message: Padding is invalid and cannot be removed.
高亮显示的异常细节是事件日志条目中最为重要的信息。开发新的 ASP.NET 站点代码时,或在某些特定的生产环境下,有可能出现这样的错误。然而,如果您的生产服务器只是在近期才出现这样的错误,那很有可能表明您受到了攻击。验证这些异常出现的时间,如果与服务器接收到大量上述恶意客户端发送的请求的时间一致,那么,这个条目是攻击导致的概率就更高了。
Kevin Brown, MSRC Engineering
了解更多信息,请参考:
Understanding the ASP.NET Vulnerability (英文)
安全通报2416728 (中文)
安全通报2416728 (英文,含更新内容)
近日,我们收到了一些关于 ASP.NET 漏洞的进一步的问题。在这篇文章中,我们将就其中最为常见的一些问题给出答复。
我的 ASP.NET 站点受这个漏洞影响吗?
受影响,所有使用 ASP.NET 的站点都受到这个漏洞的影响。您可以采用 安全通报 中列出的推荐措施,其中的变通方案能够帮助您加固服务器防止受到相关攻击。在 之前的博客文章 中,我们还提供了一个脚本,能够帮助您确认这种加固方法对您的 ASP.NET 站点是否有效。
我的站点已经受到攻击了吗?
公开的攻击方法会导致 Web 服务器向恶意的客户端回复数千(甚至上万)个错误代码为500和404的 HTTP 响应消息。您可以使用防火墙的状态过滤机制或网络中的入侵检测系统来检测出这样的模式,进而阻止潜在的攻击者。IIS 7支持的动态 IP 限制模块 (Dynamic IP Restrictions module) 也能够用来阻止这类攻击。
另外,如果您的站点已受到攻击,您可以在应用程序事件日志中看到类似下面的警告:
Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 11/11/1111 11:11:11 AM
Event time (UTC): 11/11/1111 11:11:11 AM
Event ID: 28e71767f3484d1faa90026f0947e945
Event sequence: 133482
Event occurrence: 44273
Event detail code: 0
Application information:
Application domain: c1db5830-1-129291000036654651
Trust level: Full
Application Virtual Path: /
Application Path: C:/foo/TargetWebApplication/
Machine name: FOO
Process information:
Process ID: 3784
Process name: WebDev.WebServer40.exe
Account name: foo
Exception information:
Exception type: CryptographicException
Exception message: Padding is invalid and cannot be removed.
高亮显示的异常细节是事件日志条目中最为重要的信息。开发新的 ASP.NET 站点代码时,或在某些特定的生产环境下,有可能出现这样的错误。然而,如果您的生产服务器只是在近期才出现这样的错误,那很有可能表明您受到了攻击。验证这些异常出现的时间,如果与服务器接收到大量上述恶意客户端发送的请求的时间一致,那么,这个条目是攻击导致的概率就更高了。
Kevin Brown, MSRC Engineering
了解更多信息,请参考:
Understanding the ASP.NET Vulnerability (英文)
安全通报2416728 (中文)
安全通报2416728 (英文,含更新内容)
相关文章推荐
- MS10-070 ASP.NET Padding Oracle信息泄露漏洞项目测试
- MS10-070 ASP.NET Padding Oracle信息泄露漏洞项目测试
- ASP.NET 在站点初始化时(Application_Start)中获取关于服务器的信息
- 对ASP.NET的最新安全漏洞进一步跟进说明(转)
- asp.net中关于Microsoft 信息完整性、隐私性等集成信息安全服务服务 integrated security=SSPI
- ASP.NET 关于session和cookies保存用户登录信息
- 以下是关于ASP.NET中保存各种信息的对象的比较,理解这些对象的原理,对制作完善的程序来说是相当有必要的(摘至互联网,并非原创--xukunping)
- W3C's Excessive DTD Traffic - 关于一些asp.net页面头信息的说明
- asp.net 关于您请求的报表需要更多信息的问题
- 注意防范ASP.NET中可能导致信息泄漏的漏洞
- ASP.net 中关于Session的存储信息及其它方式存储信息的讨论与总结
- ASP.NET Padding Oracle信息泄露漏洞
- 关于asp.net错误信息"不能编辑已锁定的 ConfigurationSection 属性。"
- 对ASP.NET的最新安全漏洞进一步跟进说明
- 关于asp.net ajax最新版本的书国内在2007.4即将到来两本书
- 有关ASP.NET如果获取登陆用户信息问题
- asp.net中取得服务器错误信息
- Asp.net性能优化总结[关于数据处理相关的优化]
- 使用ASP.NET 2.0 Profile存储用户信息
- [原创]关于“ASP.NET MVC Preview 5使用中,只有MVC Project模板,没有MVC Item 模板(MVC Item Template)的问题”解决