ASP.NET 發現重大資安弱點影響範圍涵蓋 ASP.NET 1.0 ~ 4.0
幾天前有兩位資安研究員 (Thai Duong and Juliano Rizzo) 發現了一個 ASP.NET 的資安弱點,主要的點出在 .NET 實做 AES 加解密演算法的問題,駭客透過這個弱點即可在短時間內猜出你網站的加密金鑰進而入侵你的網站系統,在 ASP.NET 裡使用到加解密的地方非常多,像是 Forms Authentication 與 ViewState 都是非常常見的功能,加密金鑰 (MachineKey) 被猜到之後就可以讓駭客用任意身份使用你的網站或任意竄改 ViewState 中的狀態資訊,嚴重性非同小可,各位一定要即時因應。
由於這是 AES 演算法實做的問題,不僅僅是 ASP.NET 受害,連 Java 陣營的人也一樣逃不掉,該研究員宣稱他們僅需花費 30 到 50 分鐘的時間就能 100% 破解任意用 AES 加解密的網站,他們還撰寫了一個名為 POET ( Padding Oracle Exploit Tool ) 的工具可供下載驗證,甚至還有人錄製完整的破解過程並放上 YouTube,有興趣的人可以看看以下 YouTube 影片:
- [ .NET ] POET vs ASP.NET: DotNetNuke
關於應變措施與其他資訊請參考 The Will Will Web 主站的《 ASP.NET 發現重大資安弱點影響範圍涵蓋 ASP.NET 1.0 ~ 4.0 》文章。
----
From: Will
Blog: http://blog.miniasp.com/
記載著 Will 在網路世界的學習心得與技術分享