它是脆弱的ASP填充神谕 [英] Is it vulnerable to ASP Padding oracle

问题描述

1. 当我打开chat.mysite.com/WebResource.axd?d=jzjghMVYzFihd9Uhe_arpA2
   它给了我：
   填充是无效的，不能删除。

1. When I open chat.mysite.com/WebResource.axd?d=jzjghMVYzFihd9Uhe_arpA2 It gives me: Padding is invalid and cannot be removed.

当我打开chat.mysite.com/WebResource.axd?d=acunetix
它给了我：
无效的视图状态。

When I open chat.mysite.com/WebResource.axd?d=acunetix It gives me: Invalid viewstate.

当我打开chat.mysite.com/WebResource.axd?d=
它给了我：
资源无法找到。

When I open chat.mysite.com/WebResource.axd?d= It gives me: The resource cannot be found.

然而，当我打开其中任何/WebResource.axd到我的主网站www.mysite.com，没有错误发生......

However, when I open any of those /WebResource.axd to my main site www.mysite.com, no error happens....

我的问题，我的网站容易填充预言，如果是，哪些数据可以被盗？
另一件事是，当我打开www.mysite.com的查看源文件时，还有脚本= WebResource.axd的，或类似的东西没有这样的事....林混淆，如果攻击者要采取的控制该网站，他会做什么？他将如何执行他的攻击？攻击者可以可以访问管理员权限？

My question, Is my site vulnerable to padding oracle, and if yes, what data can be stolen? Another thing is that once I open the "view source" of www.mysite.com, there is no such thing as script=webresource.axd, or anything like that.... Im confused, if an attacker wants to take control of the site, what can he do? How would he perform his attack? Can the attacker can gain access to admin privilege?

推荐答案

通过提供的信息很少，我会说这是可能的，这容易填充神谕。一个填充神谕可用于解密的密文，一个字节在同一时间开始向后工作消息的尽头。

With the little information provided I would say it is likely that this vulnerable to padding oracle. A padding oracle can be used to decrypt the cipher text, one byte at a time starting at the very end of the message working backwards.

所有的密文应该用MAC保护。

All cipher text should be protected with a MAC.

这篇关于它是脆弱的ASP填充神谕的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！