-
当我打开chat.mysite.com/WebResource.axd时?d=jzjghMVYzFihd9Uhe_arpA2它给了我:填充无效,无法删除。
-
当我打开chat.mysite.com/WebResource.axd时?d=acunetix它给了我:无效的视图状态。
-
当我打开chat.mysite.com/WebResource.axd时?d=它给了我:找不到资源。
然而,当我在我的主网站www.mysite.com上打开其中任何一个/WebResource.axd时,都不会发生错误。。。。
我的问题是,我的网站是否容易受到填充oracle的攻击,如果是,哪些数据可能会被窃取?另一件事是,一旦我打开www.mysite.com的"视图源代码",就没有script=webresource.axd之类的东西了。。。。我很困惑,如果攻击者想控制网站,他能做什么?他将如何进行攻击?攻击者能否获得管理员权限?
由于提供的信息很少,我想说这很可能容易受到填充oracle的攻击。填充预言器可以用来解密密文,从消息的最后开始,一次一个字节向后工作。
所有密文都应使用MAC进行保护。
根据对问题的评论进行回答。
是的,您当前易受填充预言机攻击。
这意味着他们可以下载你的配置文件,并解密你的视图状态和cookie。
关于访问"管理员特权",也许。取决于找到了什么。例如,如果你在web.config文件中有一个数据库连接字符串,并且该数据库服务器可以在互联网上访问,那么攻击者可能会完全绕过该应用程序,直接进入数据库。当然,这里有很多因素可能会通过暴露web.config信息来限制损害,但不幸的是,很多开发人员不知道他们在做什么。他们往往不会考虑这个问题。
那么,你能对此做些什么
首先,让你的服务器更新补丁。Windows有办法通过自动更新来实现自动化。我强烈推荐用于网络服务器。MS往往会很快解决问题。此外,在让windows服务器自行修补的10多年中,我从未遇到过任何问题。我希望我能对DB补丁说同样的话,但即使是这些补丁也开始成为你必须做的事情
其次,查看应用程序本身。web.config中是否存在可能导致数据泄露的内容。比如对数据库服务器的引用、对其他系统的密码等。如果是这样,那么我建议在打补丁后立即更改所有这些密码。对于数据库访问,我倾向于确保即使应用程序也没有查询表的直接权限。但这是一个完全独立的讨论。
第三,养成不相信任何事情的倾向。不是你自己的服务器,甚至不是你自己代码。无论如何,这会让你成为一名更好的程序员。如果攻击者能够在你的网站上删除可执行文件,他们可以访问你的网络应用程序可以访问的所有内容。
第四,只在互联网上展示必要的东西。这需要大量的教育和测试,以确保您的路由器/防火墙等配置正确。不幸的是,开发人员往往会在不方便的时候降低这些防御。例如,在服务器上安装调试工具,或者将数据库暴露在互联网上,以便在家中访问它。。。这与上面的#3是一致的。
第五,研究性研究。花点时间了解事情是如何妥协的,以及这意味着什么。当你知道自己在保护什么以及保护它免受什么攻击时,编写防御代码会容易得多。有大量的不良信息,知道攻击是如何运作的会让你更容易过滤掉。一个简单的例子是展示如何动态构建sql语句的站点。其中绝大多数不使用参数;而那些完全忽略了web应用程序本身可以被绕过的想法的人。
还有更多,更多,但这已经足够了。