如何在ASP.NET修复的oracle填充攻击?

前端之家收集整理的这篇文章主要介绍了如何在ASP.NET修复的oracle填充攻击?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
微软昨天在ASP.NET上发布了 out of band release to fix the security flaw.

微软使用什么方法来终止这个载体的可行性?

解决方法

变化的一个很好的总结来自 http://musingmarc.blogspot.com/2010/09/ms10-070-post-mortem-analysis-of-patch.html

>不要泄露异常信息 – 这样可以防止漏洞看到什么被破坏.>不要在填充检查上短路(花费相同的时间来填充正确的填充损坏) – 这样可以防止漏洞看到错误填充的时序差异.>在IHttpHandler.ProcessRequest中不要太挑剔异常捕获 – 这样可以防止漏洞看到您遇到了一种异常(CryptographicException)而不是所有异常.>从基于哈希的初始化向量切换到随机IV – 这样可以防止利用数据和散列之间的关系更快地解密.>允许向后兼容性 – 如果这种情况发生了某些事情,则允许新行为部分恢复.>在进行代码审查通行证时,更改以清楚您已考虑过新的选项.

猜你在找的asp.Net相关文章