在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
ASP.NET安全漏洞[原文发表地址]:Important: ASP.NET Security Vulnerability [原文发表时间]:2010/9/18 4:23 AM 几个小时前,我们发布了一个关于ASP.NET安全漏洞的Microsoft 安全警告,该漏洞存在于目前所有的ASP.NET版本。 该漏洞是在上周五的一个安全会议上发现的。我们建议所有的客户立即采取补救措施(见下文)来预防攻击者利用此漏洞攻击您的ASP.NET站点。 9月20日更新: 我发布了另一篇博客,其中包含关于此问题的一些FAQ,您可以从这里阅读。 9月24日更新: 我发布了另一篇博客,关于在补救措施中启用URLScan,您可以从这里阅读。 通过该安全漏洞能够做什么? 潜在的攻击者可以通过该漏洞来下载ASP.NET 应用程序中的文件,比如Web.config (它经常包含一些敏感数据)。 通过进一步利用该漏洞,攻击者可以解密发送到客户端的加密数据(如保存在页面中的ViewState)。 如何利用该漏洞 要理解该漏洞的原理,您需要先了解密钥神谕,即向一个加密系统发出问题,而它会给暗示。目前的这个漏洞就扮演了这样一个跳板,可以让攻击者不断向服务器发送加密过的数据,通过检测返回的错误码了解它是否能被解密,经过许多次尝试后,攻击者可以得到足够多的经验来解密剩余的加密内容。 避免该漏洞的临时方案 一个来避免该漏洞的替代办法就是启用ASP.NET的 <customErrors>,并且对它进行显式配置,使得不管服务器发生什么样的错误都总是返回相同的错误页。通过将不同的错误映射到同一个错误页,可以避免让攻击者辨别在服务器上产生的不同错误类型。 注意: 仅仅将customErrors设置为RemoteOnly是不够的。您必须确认所有的错误都返回相同的错误页,这需要您显示地设置customErrors节点的defaultRedirect属性,并确认它没有只针对特定的状态码。 在ASP.NET V1.0到V3.5版本上启用临时方案 如果您正在使用ASP.NET 1.0, ASP.NET 1.1, ASP.NET 2.0 或者 ASP.NET 3.5,那么您可以通过下面的步骤来设置 <customErrors> 将所有的错误映射到相同的错误页。 1) 编辑ASP.NET 应用程序根目录下的Web.config文件,如果文件不存在,则在应用程序的根目录下创建一个。. 2) 创建或修改 <customErrors> 节点,并做如下设置: <configuration> <system.web> <customErrors mode="On" defaultRedirect="~/error.html" /> </system.web> </configuration> 3) 您可以在您的程序增加一个适当的error.html文件(可以包含您喜欢的任意内容),当应用程序发生任何服务器端错误时就会显示这个页面。 注意:一个重要的事情就是customErrors节点的mode属性必须设置成 “On”,这样所有的错误才会被重定向到设定的错误页。并且必须不对它指定任何错误状态码——也就是说 <customErrors /> 节点没有任何子节点。这是做是为了避免攻击者能够区分服务器发生的错的类型,并且预防信息泄露。 在ASP.NET V3.5 SP1或ASP.NET 4.0版本上启用临时方案 如果您正在使用ASP.NET 3.5 SP1 或 ASP.NET 4.0,则可以通过下面的步骤来设置 <customErrors> 将所有的错误映射到相同的错误页。 1) 编辑ASP.NET 应用程序根目录下的Web.config文件,如果文件不存在,则在应用程序的根目录下创建一个。. 2) 创建或修改 <customErrors> 节点,并作如下设置,.NET 3.5 SP1 and .NET 4.0中还需要设置redirectMode=”ResponseRewrite”: <configuration> <system.web> <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" /> </system.web> </configuration> 3) 您可以在您的程序增加一个适当的error.aspx文件(可以包含您喜欢的任意内容),当应用程序发生任何服务器端错误时就会显示这个页面。 4) 我们推荐您在Error.aspx文件的服务器端Page_Load() 事件中增加下面的代码,设计一个小小的随机延迟,这将能帮助混淆错误。 VB 版本 下面是您可以使用的VB版本的Error.aspx ,在代码中实现了一个随机的延迟。您不需要将它和您的应用程序一起编译——只需随意地把Error.aspx文件保存到服务器上的某个应用程序目录。 <%@ Page Language="VB" AutoEventWireup="true" %> <%@ Import Namespace="System.Security.Cryptography" %> <%@ Import Namespace="System.Threading" %> <script runat="server"> Sub Page_Load() Dim delay As Byte() = New Byte(0) {} Dim prng As RandomNumberGenerator = New RNGCryptoServiceProvider() prng.GetBytes(delay) Thread.Sleep(CType(delay(0), Integer)) Dim disposable As IDisposable = TryCast(prng, IDisposable) If Not disposable Is Nothing Then disposable.Dispose() End If End Sub </script> <html> <head runat="server"> <title>Error</title> </head> <body> <div> Sorry – an error occured </div> </body> </html> C# 版本 下面是您可以使用的C#版本的Error.aspx ,在代码中实现了一个随机的延迟。您不需要将它和您的应用程序一起编译——只需随意地把Error.aspx文件保存到服务器上的某个应用程序目录。 <%@ Page Language="C#" AutoEventWireup="true" %> <%@ Import Namespace="System.Security.Cryptography" %> <%@ Import Namespace="System.Threading" %> <script runat="server"> void Page_Load() { byte[] delay = new byte[1]; RandomNumberGenerator prng = new RNGCryptoServiceProvider(); prng.GetBytes(delay); Thread.Sleep((int)delay[0]); IDisposable disposable = prng as IDisposable; if (disposable != null) { disposable.Dispose(); } } </script> <html> <head runat="server"> <title>Error</title> </head> <body> <div> An error occurred while processing your request. </div> </body> </html> 验证<customErrors>节点是否已被正确设置 当完成上述配置后,您可以测试它来验证设置是否正确且生效,比如在您的网站上请求类似这样的URL:http://mysite.com/pagethatdoesnotexist.aspx 如果您看到之前设置的错误页被显示(因为您请求的文件不存在),那么配置就是正确的。而如果您看到一个标准的ASP.NET错误,则可能是您缺失了上面某个步骤。如果想查看导致错误的更多信息,您可以尝试设置 <customErrors mode=”remoteOnly” /> ——只在服务器上的本地浏览器进行连接时才可以看见这些错误消息。 安装URLScan并启用一个自定义规则 如果您还没有安装IIS URLScan组件,请下载并进行安装: · x86 版本 · x64 版本 只需要不到一分钟就可以将它安装到你的服务器上。 增加一个新的URL扫描规则 URLScan安装完毕后,在以下位置找到UrlScan.ini文件,打开并修改它: · %windir%\system32\inetsrv\urlscan\UrlScan.ini 在靠近UrlScan.ini文件内容底部,您可以找到 [DenyQueryStringSequences] 节点,在紧跟它的下面的地方增加 “asoxerrorpath=”并保存: [DenyQueryStringSequences] aspxerrorpath= 上面这条规则可以禁止URL在QueryString中包含 “aspxerrorpath=” 这样的属性,如果有,则服务器会返回一个HTTP错误。有了这个规则就可以避免使攻击者区分服务器上的错误类型——即可以阻挡攻击者利用这个漏洞。 保存以上修改以后,在命令提示符(需要管理员权限)中运行iisreset使它生效。您可以通过向服务器的网站或应用程序请求QueryString中包含aspxerrorpath关键字的URL地址,来验证它是否成功,正常情况下IIS应该发回一个HTTP错误。 在Web服务器上找出存在安全漏洞的ASP.NET应用程序 我们发布了一个.vbs脚本文件,您可以保存到Web服务器并运行它,来检测是否有ASP.NET应用程序没有关闭 <customErrors />,或它只针对某些错误状态码。 您可以从这里下载这个.vbs脚本文件。只要把脚本内容复制/粘贴到一个记事本文件,比如”DetectCustomError.vbs”,并保存到硬盘。打开一个命令提示符窗口(需要管理员权限),然后运行csript DetectCustomErrors.vbs,它会列出Web服务器上的所有网站应用程序并检查<customErrors />设置是否正确。 它会标记出那些有问题的应用程序,比如在Web.config中没有设置 <customErrors />节点 (需要进行添加),或没有按照正确的方法进行设置(你需要修改它),如果每个应用程序都没有问题,它则会打印出“OK”的结果,这应该很容易的找出潜在的问题。 注意: 我们仅仅在前面几个小时内完成了这个检测脚本,将在以后对它进行完善,一有修改我即会在这里发布更新。 关于此漏洞的更多信息 您可以从下面这些地方了解更多关于该漏洞的信息: · Microsoft Security Advisory 2416728 · Understanding the ASP.NET Vulnerability · Microsoft Security Response Center Blog Post 可提问的论坛 我们已经在www.asp.net 上设置了一个专们的论坛,来帮助回答与该漏洞相关的问题。 您可以在这里提问并获得与该漏洞有关的帮助。 总结 我们将发表更多细节,并且我们将发布一个补丁来从根本上解决这个问题(并且不再需要上面的替代方案)。 在那之前,请继续执行上面的替代方案来预防攻击者来利用它。 9月20日更新: 发布了另一篇博客,其中包含关于此问题的一些FAQ,您可以从这里阅读。 9月24日更新: 发布了另一篇博客,关于在临时方案中启用一个额外步骤URLScan。您可以从这里阅读。 希望这能对您有所帮助。 |
请发表评论