微软发布警告称目前已经发现可以利用ASP.NET加密漏洞的攻击。

该漏洞影响微软的.NET framework，该框架几乎在所有的Windows版本上运行。在两名研究员发布Padding Oracle Exploit Tool（可自动找出和利用ASP.NET Web应用程序中的加密padding Oracle漏洞）后不几天，该攻击就开始了。

攻击通过欺骗Web服务器，在服务器返回的错误信息中寻找敏感信息。Web服务器返回的错误信息可以被攻击者用来破解AES加密。

在微软安全响应中心博客上，微软响应通信组经理Jerry Bryant说微软已确定他们的一些客户的系统正在经历这种攻击。研究人员私自泄露该漏洞的可能性不大。

Bryant写道，“和往常一样，我们继续鼓励基于社区的防御。我们认为一旦漏洞详情向公众公布，该漏洞被利用的风险就会大大增加。如果不通过协作来提供安全更新或合适的指南，风险就会扩大。”

OWASP Foundation主席和Web应用程序测试商Aspect Security的CEO Jeff Williams说该漏洞很严重，但是许多开发者和安全团队能修复易受感染的应用程序。ASP.NET应用程序在网络上占Web应用程序的比例为25%到30%，但是现在许多企业在Java 或PHP中开发Web应用程序。

Williams说，“可以想象的是许多其他种类的环境也容易受到这种类型的攻击，所以人们应该意识到这点。但这个问题并不是很难修复的。”

Padding oracle漏洞影响加密的执行，研究社区在2002年就已经了解这个问题。据POET工具的研究者Juliano Rizzo和Thai Duong说，Ruby on Rails和OWASP企业安全API工具包也可能会受到该漏洞的影响。Rizzo在研究论文上写了关于padding攻击技术的文章。

微软安全工程师在安全研究和防御博客上概述了ASP.NET漏洞。并且在博客中发表了可以用来发现易感染的ASP.NET应用程序的脚本。微软在ASP.NET安全咨文中建议用户将Web应用程序返回的错误信息设置为一致的信息，从而增加攻击者使用技术进行攻击的难度。

【编辑推荐】

1. ASP.NET中MD5和SHA1加密的几种方法
2. ASP.NET安全身份验证的实现