ASP.NET安全漏洞

ASP.NET安全漏洞

 [原文发表地址]:Important: ASP.NET Security Vulnerability

[原文发表时间]:2010/9/18 4:23 AM

几个小时前,我们发布了一个关于ASP.NET安全漏洞的Microsoft 安全警告,该漏洞存在于目前所有的ASP.NET版本。

该漏洞是在上周五的一个安全会议上发现的。我们建议所有的客户立即采取补救措施(见下文)来预防攻击者利用此漏洞攻击您的ASP.NET站点。

9月20日更新: 我发布了另一篇博客,其中包含关于此问题的一些FAQ,您可以从这里阅读。

9月24日更新: 我发布了另一篇博客,关于在补救措施中启用URLScan,您可以从这里阅读。

通过该安全漏洞能够做什么?

潜在的攻击者可以通过该漏洞来下载ASP.NET 应用程序中的文件,比如Web.config (它经常包含一些敏感数据)。

通过进一步利用该漏洞,攻击者可以解密发送到客户端的加密数据(如保存在页面中的ViewState)。

如何利用该漏洞

要理解该漏洞的原理,您需要先了解密钥神谕,即向一个加密系统发出问题,而它会给暗示。目前的这个漏洞就扮演了这样一个跳板,可以让攻击者不断向服务器发送加密过的数据,通过检测返回的错误码了解它是否能被解密,经过许多次尝试后,攻击者可以得到足够多的经验来解密剩余的加密内容。

避免该漏洞的临时方案

一个来避免该漏洞的替代办法就是启用ASP.NET的 <customErrors>,并且对它进行显式配置,使得不管服务器发生什么样的错误都总是返回相同的错误页。通过将不同的错误映射到同一个错误页,可以避免让攻击者辨别在服务器上产生的不同错误类型。

注意: 仅仅将customErrors设置为RemoteOnly是不够的。您必须确认所有的错误都返回相同的错误页,这需要您显示地设置customErrors节点的defaultRedirect属性,并确认它没有只针对特定的状态码。

在ASP.NET V1.0V3.5版本上启用临时方案

如果您正在使用ASP.NET 1.0, ASP.NET 1.1, ASP.NET 2.0 或者 ASP.NET 3.5,那么您可以通过下面的步骤来设置 <customErrors> 将所有的错误映射到相同的错误页。

1) 编辑ASP.NET 应用程序根目录下的Web.config文件,如果文件不存在,则在应用程序的根目录下创建一个。.

2) 创建或修改 <customErrors> 节点,并做如下设置:

<configuration>

<system.web>

<customErrors mode="On" defaultRedirect="~/error.html" />

</system.web>

</configuration>

3) 您可以在您的程序增加一个适当的error.html文件(可以包含您喜欢的任意内容),当应用程序发生任何服务器端错误时就会显示这个页面。

注意:一个重要的事情就是customErrors节点的mode属性必须设置成 “On”,这样所有的错误才会被重定向到设定的错误页。并且必须不对它指定任何错误状态码——也就是说 <customErrors /> 节点没有任何子节点。这是做是为了避免攻击者能够区分服务器发生的错的类型,并且预防信息泄露。

在ASP.NET V3.5 SP1或ASP.NET 4.0版本上启用临时方案

如果您正在使用ASP.NET 3.5 SP1 或 ASP.NET 4.0,则可以通过下面的步骤来设置 <customErrors> 将所有的错误映射到相同的错误页。

1) 编辑ASP.NET 应用程序根目录下的Web.config文件,如果文件不存在,则在应用程序的根目录下创建一个。.

2) 创建或修改 <customErrors> 节点,并作如下设置,.NET 3.5 SP1 and .NET 4.0中还需要设置redirectMode=”ResponseRewrite”:

<configuration>

<system.web>

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />

</system.web>

</configuration>

3) 您可以在您的程序增加一个适当的error.aspx文件(可以包含您喜欢的任意内容),当应用程序发生任何服务器端错误时就会显示这个页面。

4) 我们推荐您在Error.aspx文件的服务器端Page_Load() 事件中增加下面的代码,设计一个小小的随机延迟,这将能帮助混淆错误。

VB 版本

下面是您可以使用的VB版本的Error.aspx ,在代码中实现了一个随机的延迟。您不需要将它和您的应用程序一起编译——只需随意地把Error.aspx文件保存到服务器上的某个应用程序目录。

<%@ Page Language="VB" AutoEventWireup="true" %>

<%@ Import Namespace="System.Security.Cryptography" %>

<%@ Import Namespace="System.Threading" %>

<script runat="server">

Sub Page_Load()

Dim delay As Byte() = New Byte(0) {}

Dim prng As RandomNumberGenerator = New RNGCryptoServiceProvider()

prng.GetBytes(delay)

Thread.Sleep(CType(delay(0), Integer))

Dim disposable As IDisposable = TryCast(prng, IDisposable)

If Not disposable Is Nothing Then

disposable.Dispose()

End If

End Sub

</script>

<html>

<head runat="server">

<title>Error</title>

</head>

<body>

<div>

Sorry – an error occured

</div>

</body>

</html>

C# 版本

下面是您可以使用的C#版本的Error.aspx ,在代码中实现了一个随机的延迟。您不需要将它和您的应用程序一起编译——只需随意地把Error.aspx文件保存到服务器上的某个应用程序目录。

<%@ Page Language="C#" AutoEventWireup="true" %>

<%@ Import Namespace="System.Security.Cryptography" %>

<%@ Import Namespace="System.Threading" %>

<script runat="server">

void Page_Load() {

byte[] delay = new byte[1];

RandomNumberGenerator prng = new RNGCryptoServiceProvider();

prng.GetBytes(delay);

Thread.Sleep((int)delay[0]);

IDisposable disposable = prng as IDisposable;

if (disposable != null) { disposable.Dispose(); }

}

</script>

<html>

<head runat="server">

<title>Error</title>

</head>

<body>

<div>

An error occurred while processing your request.

</div>

</body>

</html>

验证<customErrors>节点是否已被正确设置

当完成上述配置后,您可以测试它来验证设置是否正确且生效,比如在您的网站上请求类似这样的URL:http://mysite.com/pagethatdoesnotexist.aspx

如果您看到之前设置的错误页被显示(因为您请求的文件不存在),那么配置就是正确的。而如果您看到一个标准的ASP.NET错误,则可能是您缺失了上面某个步骤。如果想查看导致错误的更多信息,您可以尝试设置 <customErrors mode=”remoteOnly” /> ——只在服务器上的本地浏览器进行连接时才可以看见这些错误消息。

安装URLScan并启用一个自定义规则

如果您还没有安装IIS URLScan组件,请下载并进行安装:

·        x86 版本

·        x64 版本

只需要不到一分钟就可以将它安装到你的服务器上。

增加一个新的URL扫描规则

URLScan安装完毕后,在以下位置找到UrlScan.ini文件,打开并修改它:

·        %windir%\system32\inetsrv\urlscan\UrlScan.ini

在靠近UrlScan.ini文件内容底部,您可以找到 [DenyQueryStringSequences] 节点,在紧跟它的下面的地方增加 “asoxerrorpath=”并保存:

[DenyQueryStringSequences]

aspxerrorpath=

上面这条规则可以禁止URL在QueryString中包含 “aspxerrorpath=” 这样的属性,如果有,则服务器会返回一个HTTP错误。有了这个规则就可以避免使攻击者区分服务器上的错误类型——即可以阻挡攻击者利用这个漏洞。

保存以上修改以后,在命令提示符(需要管理员权限)中运行iisreset使它生效。您可以通过向服务器的网站或应用程序请求QueryString中包含aspxerrorpath关键字的URL地址,来验证它是否成功,正常情况下IIS应该发回一个HTTP错误。

在Web服务器上找出存在安全漏洞的ASP.NET应用程序

我们发布了一个.vbs脚本文件,您可以保存到Web服务器并运行它,来检测是否有ASP.NET应用程序没有关闭 <customErrors />,或它只针对某些错误状态码。

您可以从这里下载这个.vbs脚本文件。只要把脚本内容复制/粘贴到一个记事本文件,比如”DetectCustomError.vbs”,并保存到硬盘。打开一个命令提示符窗口(需要管理员权限),然后运行csript DetectCustomErrors.vbs,它会列出Web服务器上的所有网站应用程序并检查<customErrors />设置是否正确。

它会标记出那些有问题的应用程序,比如在Web.config中没有设置 <customErrors />节点 (需要进行添加),或没有按照正确的方法进行设置(你需要修改它),如果每个应用程序都没有问题,它则会打印出“OK”的结果,这应该很容易的找出潜在的问题。

注意: 我们仅仅在前面几个小时内完成了这个检测脚本,将在以后对它进行完善,一有修改我即会在这里发布更新。

关于此漏洞的更多信息

您可以从下面这些地方了解更多关于该漏洞的信息:

·        Microsoft Security Advisory 2416728

·        Understanding the ASP.NET Vulnerability

·        Microsoft Security Response Center Blog Post

可提问的论坛

我们已经在www.asp.net 上设置了一个专们的论坛,来帮助回答与该漏洞相关的问题。

可以在这里提问并获得与该漏洞有关的帮助。

总结

我们将发表更多细节,并且我们将发布一个补丁来从根本上解决这个问题(并且不再需要上面的替代方案)。

在那之前,请继续执行上面的替代方案来预防攻击者来利用它。

9月20日更新: 发布了另一篇博客,其中包含关于此问题的一些FAQ,您可以从这里阅读。

9月24日更新: 发布了另一篇博客,关于在临时方案中启用一个额外步骤URLScan。您可以从这里阅读。

希望这能对您有所帮助。

posted @ 2012-05-21 15:23  tiasys  阅读(3113)  评论(0编辑  收藏  举报