在上周五一個(gè)安全會議上披露了微軟ASP.NET的一個(gè)安全漏洞，利用該漏洞攻擊者可以請求并下載一些ASP.NET Web.config文件，攻擊者可以發(fā)送密文并根據(jù)默認(rèn)錯(cuò)誤頁信息來得到Machine Key。微軟目前并沒有新的補(bǔ)丁下載，但ScottGu在自己的博客中給出了一個(gè)臨時(shí)解決方案，這里簡單翻譯一下，大家可做參考。

　　在ASP.NET 1.1 到 ASP.NET 3.5中，可以通過在Web.config中創(chuàng)建<customErrors>節(jié)點(diǎn)來解決，注意，ErrorMode必須設(shè)置為On，且對于所有的錯(cuò)誤都轉(zhuǎn)向同一個(gè)錯(cuò)誤頁，主要是防止攻擊者根據(jù)不同的錯(cuò)誤也跳轉(zhuǎn)來猜測服務(wù)器發(fā)生了什么錯(cuò)誤：

<configuration>
  <system.web>
    <customErrors mode="On" defaultRedirect="~/error.html" />
  </system.web>
</configuration>

　　在ASP.NET 3.5 SP1到ASP.NET 4.0中，在Web.config中創(chuàng)建<customErrors>節(jié)點(diǎn)，設(shè)置ErrorMode為On，設(shè)置RedirectMode模式為ResponseRewrite，對于所有的錯(cuò)誤跳轉(zhuǎn)到同一個(gè)錯(cuò)誤頁：

<configuration>
  <system.web>
    <customErrors mode="On" redirectMode="ResponseRewrite" 
            defaultRedirect="~/error.ASPx" />
  </system.web>
</configuration>

　　并且ScottGu還建議在錯(cuò)誤頁的Page_Load()事件中加上如下代碼：

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %><script runat="server">
  void Page_Load(){
    byte[] delay = new byte[1];
    RandomNumberGenerator prng = new RNGCryptoServiceProvider();
    prng.GetBytes(delay);
    Thread.Sleep((int)delay[0]);
     
    IDisposable disposable = prng as IDisposable;
    if (disposable != null){ disposable.Dispose(); }
  }
</script>
<html>
<head id="Head1" runat="server">
  <title>Error</title>
</head>
<body>
  <div>
     An error occurred while processing your request.
   </div>
</body>
</html>

　　另外ScottGu也提供了一個(gè)vbs腳本，可以用來測試服務(wù)器上ASP.NET 應(yīng)用程序的<customErrors>節(jié)點(diǎn)配置，大家可以到這里下載。

　　參考信息：

　　1. Important: ASP.NET Security Vulnerability
　　2. Microsoft Security Advisory 2416728
　　3. Understanding the ASP.NET Vulnerability

　　4. Microsoft Security Response Center Blog Post

NET技術(shù)：ASP.NET 安全漏洞臨時(shí)解決方案，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時(shí)間聯(lián)系我們修改或刪除，多謝。