Создание пользовательского httphandler в web.config: Я могу подвергнуть уязвимость «Padding Oracle»?

Question

Учитывая недавнюю уязвимость ASP.NET, что я должен искать в своих httphandlers, которые могли бы вызвать такую ​​уязвимость в Padding Oracle?

Вопрос по-другому ... что сделал MSFT неправильно и что они исправили в своих обработчиках?

Answer 1

Я думаю, что Wronge - это то, что они дают «слишком много» информации об ошибке.

@Sri здесь анализировать очень хорошо
How serious is this new ASP.NET security vulnerability and how can I workaround it?

Answer 2

Были 3 проблемы с WebResource.axd и ScriptResource.axd:

1. Работа в качестве заполняющего оракула. Это связано с тем, что эта расшифрованная информация отправляется в строку запроса и ведет себя по-разному, когда дешифрованная строка имеет недопустимый или действительный отступ - поскольку она была изменена. Исправление, сделанное Microsoft, включало использование HMAC для предотвращения подделки данных - это проверяется перед любой проверкой дополнений, поэтому он не предоставляет информацию об отступе
2. Опираясь на нормальное шифрование/дешифрование, чтобы получить запрос на ресурс/файл , Для этого не нужен механизм защиты от несанкционированного доступа.
3. Предоставление доступа любого вида файлов, а не только JavaScript файлы

Нижняя линия, не позволяют больше доступа, чем это необходимо, и только если вам действительно нужно шифрования/дешифрования НСД доказательства.

Назад в день, когда я писал о how it related to getting different levels of access