3
In Scott Guthries blog on the ASP.NET Security vulnerability noted here他说,对于ASP.NET 3.5 SP1 +以下属性应在自定义错误部分RedirectMode在ASP.NET中的安全漏洞
redirectMode="ResponseRewrite"
设置什么是这相对于脆弱的意义和为什么只有3.5 SP1及以上?
A
回答
1
的ResponseRedirect给人以攻击者的拿地给重定向头时候的信息。
ResponseRewrite没有返回重定向头,所以攻击者不知道这次。
攻击者可以使用这个延迟时间来寻找什么样的错误,因此Scott给出了一个带有随机延迟的error.aspx页面示例。如果你不使用ResponceRewrite,那么这个延迟是毫无意义的。
为什么只有3.5 SP1及以上,因为没有以前version.s
0
为什么只有3.5 SP1及以上?因为在此之前该属性不存在。
设置属性会更改错误页面呈现的方式。默认值(ResponseRedirect)会导致服务器发出重定向到错误页面。建议的值ResponseRewrite会导致回复被写回,而不是所请求的内容 - 无需将用户重定向到不同的Uri。至少,这是我的理解。
该属性的MSDN文档here ...
相关问题
- 1. MoPub安全漏洞
- 2. asp.net mvc文件上传安全漏洞
- 3. 的Acunetix安全漏洞
- 4. 的Nexus安全漏洞
- 5. Twitter @anywhere安全漏洞?
- 6. php fwrite中的安全漏洞?
- 7. XAMPP for Windows中的安全漏洞?
- 8. iPhone应用程序中的安全漏洞有多安全?
- 9. 带有Rails安全漏洞的FCKEditor
- 10. ORDER BY $ order - 可能的安全漏洞?
- 11. 安全漏洞 - veracode报告 - crlf注入
- 12. JQuery $ .get()语句有安全漏洞?
- 13. Google API刷新令牌安全漏洞
- 14. IPC如何产生安全漏洞?
- 15. 什么是内存安全漏洞?
- 16. Sharepoint 2010/SSRS 2008R2安全漏洞
- 17. Newtonsoft JSON.NET安全漏洞实现
- 18. ASP.NET - 安全漏洞(加密神谕)和Web服务
- 19. 在PHP会话中保存用户信息的安全漏洞?
- 20. 安全漏洞访问控制:sqlite中的数据库插入
- 21. 应用程序中的漏洞和安全威胁
- 22. 重定向中的安全漏洞明显?
- 23. 安全扫描显示JS脚本文件中的漏洞
- 24. asp.net散列表漏洞
- 25. ASP.NET MVC中的漏洞测试
- 26. SSRS在SharePoint集成模式和报告模型安全性 - 安全漏洞?
- 27. 如何解决这个安全漏洞在web api
- 28. 这个PHP代码中是否有安全漏洞?
- 29. 使用SetDllDirectory的可能的安全漏洞?
- 30. 与处理和addressiung的“XML漏洞”的安全问题
+1我只补充一点,ResponseRewrite存在是** **也容易受到攻击的时间,而是由OP粘贴的链接提示添加默认延迟以防止计时攻击。有了ResponseRedirect,就没有简单的方法来防止计时攻击。 – 2010-09-20 15:05:25
难道你不能只是把随机睡眠内的global.asax Application_Error事件?然后你不放弃任何时间信息,因此不需要ResponseRewrite。 – 2010-09-20 22:18:05
@Aaron我不知道回答,因为我需要先测试它。也许是的,但斯科特给出了一个简单的方法来防止这种攻击。这不是你需要做的唯一保护自己的想法。 – Aristos 2010-09-21 06:44:51