我刚刚在网上看到 ASP.NET. 你可在此查阅详情。中一个新发现的安全漏洞
问题在于 NET 实现了 AES 加密 保护程序完整性的算法 这些应用程序的 cookie 生成以存储期间的信息 用户会话。
这个说法有点含糊,但更可怕的是:
攻击的第一阶段需要 几千个请求,但一旦它 攻击者获得 秘密钥匙,绝对隐秘 所需的密码学知识是 非常简单。
总而言之,我对安全/密码学还不够熟悉,不知道这是否真的那么严重。
那么,是否所有的 ASP.NET 开发人员都应该害怕 可以在几秒钟内拥有任何 ASP.NET 网站这种技术呢?
这个问题是如何影响一般的 ASP.NET 开发人员的? 它对我们有影响吗? 在现实生活中,这种脆弱性的后果是什么? 最后: 是否有一些变通方法可以防止这种脆弱性?
谢谢你的回答!
所以,这基本上是一种“填充预言”类型的攻击。斯里兰卡对这种类型的攻击意味着什么提供了很好的解释。这里有一个关于这个问题的令人震惊的视频!
关于这个漏洞的严重性: 是的,确实很严重。因此,他可以做一些 非常不想做的事情。
下面是我得到的一些很好的实践,不要解决了这个问题,但是有助于提高 Web 应用程序的一般安全性。
现在,让我们把注意力集中在这个问题上。
解决办法
Application_Error
或 Error.aspx
放入一些代码,使一个随机延迟。(生成一个随机数,并使用 Thread。睡那么长时间。)这将使攻击者无法确定在您的服务器上究竟发生了什么。还有别的想法
感谢所有回答我问题的人。我不仅学到了很多关于这个问题的知识,还学到了一般的网络安全知识。我把@Mikael 的答案标记为接受,但其他的答案也很有用。