網頁

2010年9月27日 星期一

ASP.NET 重大資安弱點

由於有資安人員發現了 asp.net 的資安弱點,主要針對 .NET 在實作 AES 加解密演算法問題,讓駭客能在短時間內猜出網站的加密金鑰後入侵你的系統。只要是你的網站是以 asp.net 為基礎的都有這弱點,都會遭此弱點攻擊。

微軟於 2010/9/17 正是公布了 Microsoft Security Advisory (2416728) Vulnerability in ASP.NET Could Allow Information Disclosure 這個弱點,但是目前並沒有完整的解決方法,只提供了緊急應變措施(Workarounds),請參照網頁上的說明對網站進行修正。

主要緊急應變措施如下:
1. 開啟 web.config
2. 修改 <customerrors> mode 與 defaultRedirect 屬性,兩個屬性都要設定
2.1 .NET 3.5 和 之前版本
<configuration>
<location allowOverride="false">
<system.web>
<customErrors mode="On" defaultRedirect="~/ error.html" />
</system.web>
</location>
</configuration>

2.2 .NET 3.5 SP1 和 之後版本
<configuration>
<location allowOverride="false">
<system.web>
<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
</system.web>
</location>
</configuration>

3. 新增一個錯誤訊息網頁,微軟有提供這網頁的寫法。

另有一個網頁可參考, ScottGu's Blog 上面有提供一個工具,可以針對此弱點檢查你的網站。

沒有留言:

張貼留言