那些遇到过的问题

为什么Scott Guthrie建议我们在Error.aspx中使用随机的小睡眠延迟?

xpo*_*ort 8 asp.net asp.net-mvc

我无法弄清楚,随机的小睡眠延迟怎么可以成为防止攻击者探测我们网站的解决方案.

这是他的代码片段:

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
void Page_Load() {
  byte[] delay = new byte[1];
  RandomNumberGenerator prng = new RNGCryptoServiceProvider();

  prng.GetBytes(delay);
  Thread.Sleep((int)delay[0]);

  IDisposable disposable = prng as IDisposable;
  if (disposable != null) { disposable.Dispose(); }
}
</script>

<html>
<head runat="server">
<title>Error</title>
</head>
<body>
<div>
    An error occurred while processing your request.
</div>
</body>
</html>
Run Code Online (Sandbox Code Playgroud)

Ale*_*lex 6

这是为了防止人们不断触发您的错误页面并利用最近的ASP.NET漏洞.他们需要大量的失败来利用这种漏洞.

睡眠延迟不会"阻止"访问您的页面.可以认为它类似于暴力破解密码; 如果你需要在猜测之间等待5秒而不是5毫秒,你将花费更多的时间来找到pw.

  • 根据接收错误页面所花费的时间,可能会确定不同类型的错误,因此随机延迟会使这一点混淆 (7认同)

归档时间:

查看次数:

481 次

最近记录:

15 年,6 月 前
相关归档
如何在保持ViewData的值检索的同时为Html.TextBox助手指定属性? 36
Agile,Scrum和CMMI TFS流程模板之间有什么区别 25
从WebAPI生成Route Url到MVC控制器操作 21
方法"Bundle.Include"(在System.Web.Optimization中与ASP.NET MVC一起使用)是否会抛出异常而不是默默地忽略丢失的文件? 18
Favicon没有显示 12
果园cms路由问题 11
为什么事件处理程序只能在IHttpModule初始化期间绑定到HttpApplication事件? 10
ASP.NET Core应用程序将无法运行:没有DIST文件夹和"无法找到模块"./wwwroot/dist/vendor-manifest.json'" 10
使用ASP.NET Web API将HTTP POST转换为多对多关系 9
.NET 4.5中的样式包和CSS中的图标 8
难疑归档
如何删除子模块? 3366
如何检查列表是否为空? 3235
jQuery滚动到元素 2196
如何将Git存储库克隆到特定文件夹中? 2083
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
如何解决"断点当前不会被命中.此文档没有加载任何符号." 警告? 1456
varchar和nvarchar有什么区别? 1300
.gitignore for Visual Studio项目和解决方案 1115
如何从Python字符串中修剪空格? 1103