Création de httphandler personnalisé dans web.config: risque-t-on d'exposer une vulnérabilité 'Padding Oracle'?

Question

Considérant la récente vulnérabilité ASP.NET, que dois-je rechercher dans mon httphandlers qui provoquerait une telle vulnérabilité de Padding Oracle? Demandé d'une autre manière ... qu'est-ce que MSFT a fait de mal et qu'est-ce qu'ils ont réparé dans leurs gestionnaires?

Answer 1

Je pense que le wronge est qu'ils donnent "trop" d'informations sur l'erreur.

@Sri ici analyser très bien
How serious is this new ASP.NET security vulnerability and how can I workaround it?

Answer 2

Il y avait des problèmes avec 3 WebResource.axd et ScriptResource.axd:

1. travail comme un oracle de remplissage. Cela est dû au fait que ces informations décryptées envoient la chaîne de requête et se comportent différemment lorsque la chaîne déchiffrée a un remplissage invalide ou valide - car elle a été falsifiée. La correction faite par Microsoft a inclus l'utilisation d'un HMAC pour empêcher les données d'être falsifiées - ceci est vérifié avant toute vérification de remplissage, donc n'expose pas les informations de remplissage
2. S'appuyant sur un cryptage/décryptage normal pour recevoir une requête pour une ressource/un fichier . Ce n'est pas fait pour ça, un mécanisme inviolable est nécessaire.
3. Permettre l'accès de tout type de fichiers, non seulement les fichiers JavaScript

ligne de fond, ne permettent pas un accès plus que nécessaire et seulement si vous avez vraiment besoin d'une preuve de sabotage de chiffrement/déchiffrement il.

Retour dans la journée, je blogué sur how it related to getting different levels of access