10
ช่องโหว่ความปลอดภัย ASP.NET ใหม่นี้ร้ายแรงเพียงใดและฉันจะแก้ไขได้อย่างไร
ฉันเพิ่งอ่านเกี่ยวกับช่องโหว่ความปลอดภัยที่ค้นพบใหม่ใน ASP.NET คุณสามารถอ่านรายละเอียดได้ที่นี่ ปัญหาอยู่ในลักษณะที่ ASP.NET ใช้อัลกอริทึมการเข้ารหัส AES เพื่อปกป้องความสมบูรณ์ของคุกกี้ที่แอปพลิเคชันเหล่านี้สร้างขึ้นเพื่อเก็บข้อมูลระหว่างเซสชันผู้ใช้ มันค่อนข้างคลุมเครือ แต่นี่เป็นส่วนที่น่ากลัวกว่า: ขั้นแรกของการโจมตีใช้เวลาไม่กี่พันคำร้องขอ แต่เมื่อประสบความสำเร็จและผู้โจมตีได้รับกุญแจความลับมันลับ ๆ ล่อ ๆ โดยสิ้นเชิง โดยรวมแล้วฉันไม่คุ้นเคยกับเรื่องความปลอดภัย / การเข้ารหัสลับที่จะรู้ว่านี่เป็นเรื่องที่ร้ายแรงหรือไม่ ดังนั้นนักพัฒนา ASP.NET ทุกคนควรกลัวเทคนิคนี้ที่สามารถเป็นเจ้าของเว็บไซต์ ASP.NET ใด ๆ ในไม่กี่วินาทีหรืออะไร ปัญหานี้ส่งผลกระทบต่อนักพัฒนา ASP.NET โดยเฉลี่ยอย่างไร มันส่งผลกระทบต่อพวกเราหรือไม่? ในชีวิตจริงสิ่งที่เป็นผลมาจากช่องโหว่นี้คืออะไร? และในที่สุด: มีวิธีแก้ไขบางอย่างที่ป้องกันช่องโหว่นี้หรือไม่? ขอบคุณสำหรับคำตอบ! แก้ไข: ฉันขอสรุปคำตอบที่ฉันได้รับ ดังนั้นนี่คือการโจมตีแบบ "ช่องว่างภายใน" @Sriให้คำอธิบายที่ดีเกี่ยวกับการโจมตีประเภทนี้หมายความว่าอย่างไร นี่คือวิดีโอที่น่าตกใจเกี่ยวกับปัญหานี้! เกี่ยวกับความร้ายแรงของช่องโหว่นี้: ใช่มันเป็นเรื่องร้ายแรง ช่วยให้ผู้โจมตีรู้จักรหัสเครื่องของแอปพลิเคชัน ดังนั้นเขาสามารถทำสิ่งที่ไม่ต้องการมาก ในการกดปุ่มของเครื่องของแอปผู้บุกรุกสามารถถอดรหัสคุกกี้การตรวจสอบสิทธิ์ ยิ่งกว่านั้นเขาสามารถสร้างคุกกี้การรับรองความถูกต้องด้วยชื่อของผู้ใช้ใด ๆ ดังนั้นเขาสามารถปรากฏเป็นทุกคนในเว็บไซต์ แอปพลิเคชันไม่สามารถแยกความแตกต่างระหว่างคุณหรือแฮ็กเกอร์ที่สร้างคุกกี้การรับรองความถูกต้องด้วยชื่อของคุณเอง นอกจากนี้ยังช่วยให้เขาถอดรหัส …