360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
严重严重

ASP.NET Padding Oracle

WASC Threat Classification

发现时间:

2013-04-19

漏洞类型:

信息泄露

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:
Padding Oracle是一种攻击方式,是根据最后一个数据块所缺少的长度来选择填充的内容,如果填充的不正确,相关的加密、解密类库就会提示出错误信息,进而被攻击者利用。
危害:
黑客能够使用Padding Oracle攻击方式来解密cookie,加密状态及认证密码等关键信息。
解决方案:

ASP.NET V1.0 to V3.5:

根目录编辑或者创建web.config文件,确认以下内容,error.html为自定义错误页。

<configuration>

      <system.web>

<customErrors mode="On" defaultRedirect="~/error.html" />

    </system.web>

</configuration>

ASP.NET V3.5 SP1 and ASP.NET 4.0

根目录编辑或者创建web.config文件,确认以下内容,error.aspx为自定义错误页。

<configuration>
   <system.web>
     <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />
   </system.web>
</configuration>

 

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论