ASP.NET PaddingOracle漏洞(MS10-070)

背景

这是前两天的漏洞验证中发现的第二个有意思的古老的漏洞,算是做一个小科普。

微软在2010年9月17号发布了一个关于ASP.NET平台的安全漏洞公告,这个公告就是关于Padding Oracle攻击的,其实这个漏洞并不仅是ASP.NET才存在,而ASP.NET Padding Oracle这种说法引人注目的原因可能是由于微软官方的反应和其应用比较广泛吧。实际上Padding Oracle是一个攻击原理,这是一个普遍存在的安全漏洞,通过这个原理还可以攻击CAPTCHA、Ruby on Rails、Apache MyFaces、Sun Mojarra、JavaServer Faces等其他目标,甚至连OWASP提供给的企业维护安全的API工具包ESAPI都会受到这个攻击。

Padding Oracle攻击,在2010年由Black Hat、OWASP和White Hat Security三大安全组织联合发起的10大WEB黑客技术中排名中居于首位,由此对于它的威力也可见一斑。

阅读更多