最新评论

顶下

自查，怎么个自查？

asp.net漏洞-POET vs ASP.NET: DotNetNuke 利用视频http://v.youku.com/v_show/id_XMjA3NjI3NjI0.html

[quote]bidaas：早就知道了ASP.NET的这个篡改功能了，还以为是ASP.NET自带的功能，不是漏洞，并且利用这个功能让客户自己用http方式更新bin目录和web.config等文件[/quote] 没明白什么意思，能否详细说说

已经好几天的事了 http://www.theinquirer.net/inquirer/news/1732956/security-researchers-destroy-microsoft-aspnet-security

但是ScottGu给出了一个临时的解决方案，大家可以参考一下：http://sinaurl.cn/h9XSe6

[quote]技术,趋势： 此漏洞存在于ASP.NET所有已发布的版本中, 其影响程度不容小视. 目前尚无补丁发布. 请广大开发和维护人员加强防范... -------- 真服了微软的高管了，[b]自已都没解决的技术问题，就这么抛给广大开发和维护人员[/b]。这不是要人的命么。[/quote] 难道要像资金矿业一样，发现问题要维稳瞒报吗？

此漏洞存在于ASP.NET所有已发布的版本中, 其影响程度不容小视. 目前尚无补丁发布. 请广大开发和维护人员加强防范... -------- 真服了微软的高管了，[b]自已都没解决的技术问题，就这么抛给广大开发和维护人员[/b]。这不是要人的命么。

好大个洞，MS真是祸不单行啊。

知道这个漏洞是如何使用的才能更好的想到对策嘛

[quote]猫之良品：我还是挺希望知道攻击方法的[/quote]

ASP.NET开发从业人员情何以堪.....

[quote]菩提树下的杨过： @kiler @Conan304 链接中的workaround部分已经给出了解决办法，大致就是打开自定义错误页，然后在错误页上写几行代码。看看就明白了，不算麻烦，很容易实施。 [/quote] 多谢了，赶紧修改一下我的服务器设置。

早就知道了ASP.NET的这个篡改功能了，还以为是ASP.NET自带的功能，不是漏洞，并且利用这个功能让客户自己用http方式更新bin目录和web.config等文件

" 加密模块" ,cvs查看？ 没有看到具体信息

是lz抄cb的还是cb抄lz的？或者都是抄别人的？能不能不把标题搞得这么危言耸听？很好解决的一个小问题搞这么一个标题有意思么？

没弄明白除掉打开自定义错误外的那几句代码是什么意思。。

我还是挺希望知道攻击方法的

解决方法可以看这个： http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

@超级奶崽 具体攻击方法就不合适讲了吧... 特别还是官方文档里...