[原文发表地址]:Important: ASP.NET Security Vulnerability
[原文发表时间]:2010/9/18 4:23 AM
几个小时前,我们发布了一个关于ASP.NET安全漏洞的Microsoft 安全警告,该漏洞存在于目前所有的ASP.NET版本。
该漏洞是在上周五的一个安全会议上发现的。我们建议所有的客户立即采取补救措施(见下文)来预防攻击者利用此漏洞攻击您的ASP.NET站点。
9月20日更新: 我发布了另一篇博客,其中包含关于此问题的一些FAQ,您可以从这里阅读。
9月24日更新: 我发布了另一篇博客,关于在补救措施中启用URLScan,您可以从这里阅读。
通过该安全漏洞能够做什么?
潜在的攻击者可以通过该漏洞来下载ASP.NET 应用程序中的文件,比如Web.config (它经常包含一些敏感数据)。
通过进一步利用该漏洞,攻击者可以解密发送到客户端的加密数据(如保存在页面中的ViewState)。
如何利用该漏洞
要理解该漏洞的原理,您需要先了解密钥神谕,即向一个加密系统发出问题,而它会给暗示。目前的这个漏洞就扮演了这样一个跳板,可以让攻击者不断向服务器发送加密过的数据,通过检测返回的错误码了解它是否能被解密,经过许多次尝试后,攻击者可以得到足够多的经验来解密剩余的加密内容。
避免该漏洞的临时方案
一个来避免该漏洞的替代办法就是启用ASP.NET的 <customErrors>,并且对它进行显式配置,使得不管服务器发生什么样的错误都总是返回相同的错误页。通过将不同的错误映射到同一个错误页,可以避免让攻击者辨别在服务器上产生的不同错误类型。
注意: 仅仅将customErrors设置为RemoteOnly是不够的。您必须确认所有的错误都返回相同的错误页,这需要您显示地设置customErrors节点的defaultRedirect属性,并确认它没有只针对特定的状态码。
在ASP.NET V1.0到V3.5版本上启用临时方案
如果您正在使用ASP.NET 1.0, ASP.NET 1.1, ASP.NET 2.0 或者 ASP.NET 3.5,那么您可以通过下面的步骤来设置 <customErrors> 将所有的错误映射到相同的错误页。
1) 编辑ASP.NET 应用程序根目录下的Web.config文件,如果文件不存在,则在应用程序的根目录下创建一个。.
2) 创建或修改 <customErrors> 节点,并做如下设置:
<configuration>
<system.web>
<customErrors mode="On" defaultRedirect="~/error.html" />
</system.web>
</configuration>
3) 您可以在您的程序增加一个适当的error.html文件(可以包含您喜欢的任意内容),当应用程序发生任何服务器端错误时就会显示这个页面。
注意:一个重要的事情就是customErrors节点的mode属性必须设置成 “On”,这样所有的错误才会被重定向到设定的错误页。并且必须不对它指定任何错误状态码——也就是说 <customErrors /> 节点没有任何子节点。这是做是为了避免攻击者能够区分服务器发生的错的类型,并且预防信息泄露。
在ASP.NET V3.5 SP1或ASP.NET 4.0版本上启用临时方案
如果您正在使用ASP.NET 3.5 SP1 或 ASP.NET 4.0,则可以通过下面的步骤来设置 <customErrors> 将所有的错误映射到相同的错误页。
1) 编辑ASP.NET 应用程序根目录下的Web.config文件,如果文件不存在,则在应用程序的根目录下创建一个。.
2) 创建或修改 <customErrors> 节点,并作如下设置,.NET 3.5 SP1 and .NET 4.0中还需要设置redirectMode=”ResponseRewrite”:
<configuration>
<system.web>
<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />
</system.web>
</configuration>
3) 您可以在您的程序增加一个适当的error.aspx文件(可以包含您喜欢的任意内容),当应用程序发生任何服务器端错误时就会显示这个页面。
4) 我们推荐您在Error.aspx文件的服务器端Page_Load() 事件中增加下面的代码,设计一个小小的随机延迟,这将能帮助混淆错误。
VB 版本
下面是您可以使用的VB版本的Error.aspx ,在代码中实现了一个随机的延迟。您不需要将它和您的应用程序一起编译——只需随意地把Error.aspx文件保存到服务器上的某个应用程序目录。
<%@ Page Language="VB" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
Sub Page_Load()
Dim delay As Byte() = New Byte(0) {}
Dim prng As RandomNumberGenerator = New RNGCryptoServiceProvider()
prng.GetBytes(delay)
Thread.Sleep(CType(delay(0), Integer))
Dim disposable As IDisposable = TryCast(prng, IDisposable)
If Not disposable Is Nothing Then
disposable.Dispose()
End If
End Sub
</script>
<html>
<head runat="server">
<title>Error</title>
</head>
<body>
<div>
Sorry – an error occured
</div>
</body>
</html>
C# 版本
下面是您可以使用的C#版本的Error.aspx ,在代码中实现了一个随机的延迟。您不需要将它和您的应用程序一起编译——只需随意地把Error.aspx文件保存到服务器上的某个应用程序目录。
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
<html>
<head runat="server">
<title>Error</title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
验证<customErrors>节点是否已被正确设置
当完成上述配置后,您可以测试它来验证设置是否正确且生效,比如在您的网站上请求类似这样的URL:http://mysite.com/pagethatdoesnotexist.aspx
如果您看到之前设置的错误页被显示(因为您请求的文件不存在),那么配置就是正确的。而如果您看到一个标准的ASP.NET错误,则可能是您缺失了上面某个步骤。如果想查看导致错误的更多信息,您可以尝试设置 <customErrors mode=”remoteOnly” /> ——只在服务器上的本地浏览器进行连接时才可以看见这些错误消息。
安装URLScan并启用一个自定义规则
如果您还没有安装IIS URLScan组件,请下载并进行安装:
· x86 版本
· x64 版本
只需要不到一分钟就可以将它安装到你的服务器上。
增加一个新的URL扫描规则
URLScan安装完毕后,在以下位置找到UrlScan.ini文件,打开并修改它:
· %windir%\system32\inetsrv\urlscan\UrlScan.ini
在靠近UrlScan.ini文件内容底部,您可以找到 [DenyQueryStringSequences] 节点,在紧跟它的下面的地方增加 “asoxerrorpath=”并保存:
[DenyQueryStringSequences]
aspxerrorpath=
上面这条规则可以禁止URL在QueryString中包含 “aspxerrorpath=” 这样的属性,如果有,则服务器会返回一个HTTP错误。有了这个规则就可以避免使攻击者区分服务器上的错误类型——即可以阻挡攻击者利用这个漏洞。
保存以上修改以后,在命令提示符(需要管理员权限)中运行iisreset使它生效。您可以通过向服务器的网站或应用程序请求QueryString中包含aspxerrorpath关键字的URL地址,来验证它是否成功,正常情况下IIS应该发回一个HTTP错误。
在Web服务器上找出存在安全漏洞的ASP.NET应用程序
我们发布了一个.vbs脚本文件,您可以保存到Web服务器并运行它,来检测是否有ASP.NET应用程序没有关闭 <customErrors />,或它只针对某些错误状态码。
您可以从这里下载这个.vbs脚本文件。只要把脚本内容复制/粘贴到一个记事本文件,比如”DetectCustomError.vbs”,并保存到硬盘。打开一个命令提示符窗口(需要管理员权限),然后运行csript DetectCustomErrors.vbs,它会列出Web服务器上的所有网站应用程序并检查<customErrors />设置是否正确。
它会标记出那些有问题的应用程序,比如在Web.config中没有设置 <customErrors />节点 (需要进行添加),或没有按照正确的方法进行设置(你需要修改它),如果每个应用程序都没有问题,它则会打印出“OK”的结果,这应该很容易的找出潜在的问题。
注意: 我们仅仅在前面几个小时内完成了这个检测脚本,将在以后对它进行完善,一有修改我即会在这里发布更新。
关于此漏洞的更多信息
您可以从下面这些地方了解更多关于该漏洞的信息:
· Microsoft Security Advisory 2416728
· Understanding the ASP.NET Vulnerability
· Microsoft Security Response Center Blog Post
可提问的论坛
我们已经在www.asp.net 上设置了一个专们的论坛,来帮助回答与该漏洞相关的问题。
您可以在这里提问并获得与该漏洞有关的帮助。
总结
我们将发表更多细节,并且我们将发布一个补丁来从根本上解决这个问题(并且不再需要上面的替代方案)。
在那之前,请继续执行上面的替代方案来预防攻击者来利用它。
9月20日更新: 发布了另一篇博客,其中包含关于此问题的一些FAQ,您可以从这里阅读。
9月24日更新: 发布了另一篇博客,关于在临时方案中启用一个额外步骤URLScan。您可以从这里阅读。
希望这能对您有所帮助。