3
In Scott Guthries blog on the ASP.NET Security vulnerability noted here他說,對於ASP.NET 3.5 SP1 +以下屬性應在自定義錯誤部分RedirectMode在ASP.NET中的安全漏洞
redirectMode="ResponseRewrite"
設置什麼是這相對於脆弱的意義和爲什麼只有3.5 SP1及以上?
A
回答
1
的ResponseRedirect給人以攻擊者的拿地給重定向頭時候的信息。
ResponseRewrite沒有返回重定向頭,所以攻擊者不知道這次。
攻擊者可以使用這個延遲時間來尋找什麼樣的錯誤,因此Scott給出了一個帶有隨機延遲的error.aspx頁面示例。如果你不使用ResponceRewrite,那麼這個延遲是毫無意義的。
爲什麼只有3.5 SP1及以上,因爲沒有以前version.s
0
爲什麼只有3.5 SP1及以上?因爲在此之前該屬性不存在。
設置屬性會更改錯誤頁面呈現的方式。默認值(ResponseRedirect)會導致服務器發出重定向到錯誤頁面。建議的值ResponseRewrite會導致回覆被寫回,而不是所請求的內容 - 無需將用戶重定向到不同的Uri。至少,這是我的理解。
該屬性的MSDN文檔here ...
相關問題
- 1. MoPub安全漏洞
- 2. asp.net mvc文件上傳安全漏洞
- 3. 的Acunetix安全漏洞
- 4. 的Nexus安全漏洞
- 5. Twitter @anywhere安全漏洞?
- 6. php fwrite中的安全漏洞?
- 7. XAMPP for Windows中的安全漏洞?
- 8. iPhone應用程序中的安全漏洞有多安全?
- 9. 帶有Rails安全漏洞的FCKEditor
- 10. ORDER BY $ order - 可能的安全漏洞?
- 11. 安全漏洞 - veracode報告 - crlf注入
- 12. JQuery $ .get()語句有安全漏洞?
- 13. Google API刷新令牌安全漏洞
- 14. IPC如何產生安全漏洞?
- 15. 什麼是內存安全漏洞?
- 16. Sharepoint 2010/SSRS 2008R2安全漏洞
- 17. Newtonsoft JSON.NET安全漏洞實現
- 18. ASP.NET - 安全漏洞(加密神諭)和Web服務
- 19. 在PHP會話中保存用戶信息的安全漏洞?
- 20. 安全漏洞訪問控制:sqlite中的數據庫插入
- 21. 應用程序中的漏洞和安全威脅
- 22. 重定向中的安全漏洞明顯?
- 23. 安全掃描顯示JS腳本文件中的漏洞
- 24. asp.net散列表漏洞
- 25. ASP.NET MVC中的漏洞測試
- 26. SSRS在SharePoint集成模式和報告模型安全性 - 安全漏洞?
- 27. 如何解決這個安全漏洞在web api
- 28. 這個PHP代碼中是否有安全漏洞?
- 29. 使用SetDllDirectory的可能的安全漏洞?
- 30. 與處理和addressiung的「XML漏洞」的安全問題
+1我只補充一點,ResponseRewrite存在是** **也容易受到攻擊的時間,而是由OP粘貼的鏈接提示添加默認延遲以防止計時攻擊。有了ResponseRedirect,就沒有簡單的方法來防止計時攻擊。 – 2010-09-20 15:05:25
難道你不能只是把隨機睡眠內的global.asax Application_Error事件?然後你不放棄任何時間信息,因此不需要ResponseRewrite。 – 2010-09-20 22:18:05
@Aaron我不知道回答,因爲我需要先測試它。也許是的,但斯科特給出了一個簡單的方法來防止這種攻擊。這不是你需要做的唯一保護自己的想法。 – Aristos 2010-09-21 06:44:51