那些遇到过的问题

如何对ASP.NET固定的oracle填充攻击?

Chr*_*sic 10 asp.net security

微软昨天发布了他们的带外版本来修复 ASP.NET中的安全漏洞.

Microsoft使用哪些方法来终止此向量的可行性?

Aar*_*n D 14

这些变化的一个很好的总结来自http://musingmarc.blogspot.com/2010/09/ms10-070-post-mortem-analysis-of-patch.html

  • 不要泄漏异常信息 - 这可以防止漏洞利用程序查看损坏的内容.
  • 不要在填充检查上进行短路(花费相同的时间来填充正确的填充符号) - 这可以防止漏洞看到不正确填充的时序差异.
  • 不要过于挑剔IHttpHandler.ProcessRequest中的异常捕获 - 这可以防止漏洞看到您捕获到一种异常(CryptographicException)而不是所有异常.
  • 从基于散列的初始化向量切换到随机IV - 这可以防止利用数据和散列之间的关系更快地解密.
  • 允许向后兼容 - 如果这会破坏某些内容,请允许部分恢复新行为.
  • 在进行代码审核时,请更改以明确您已考虑新选项.

归档时间:

查看次数:

1572 次

最近记录:

11 年,4 月 前
相关归档
美元符号$在网址中做什么? 21
为什么Asp.Net MVC 5将@ Scripts.Render("〜/ bundles/jquery")放在_Layout.cshtml的底部? 20
如何将多个画布保存到一个图像中 14
如何在c#中的类中搜索String 11
How to sandbox third party applications when `sandbox-exec` is deprecated now? 11
回顾为每个网站/应用程序创建单独的IIS应用程序池 10
从onchange触发.click()时,IE9上的"SCRIPT5访问被拒绝"错误 9
在CheckAccessCore之后,WCF访问被拒绝的异常永远不会返回到客户端 8
为什么我应该在评论表单中使用BBCode而不是HTML? 7
安全地限制API速率,防止IP地址欺骗 3
难疑归档
为什么Android模拟器这么慢?我们如何加快Android模拟器的速度? 3356
什么是__init__.py? 2074
ssh"权限太开放"错误 1859
动态创建元素的事件绑定? 1677
如何从列表中随机选择一个项目? 1656
在JavaScript中生成两个数字之间的随机数 1635
从HTML页面重定向 1523
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196
感叹号在功能之前做了什么? 1190
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145