如何在ASP.NET修复的oracle填充攻击?

微软昨天在ASP.NET上发布了 out of band release to fix the security flaw.

微软使用什么方法来终止这个载体的可行性?

解决方法

变化的一个很好的总结来自 http://musingmarc.blogspot.com/2010/09/ms10-070-post-mortem-analysis-of-patch.html

>不要泄露异常信息 – 这样可以防止漏洞看到什么被破坏.>不要在填充检查上短路(花费相同的时间来填充正确的填充损坏) – 这样可以防止漏洞看到错误填充的时序差异.>在IHttpHandler.ProcessRequest中不要太挑剔异常捕获 – 这样可以防止漏洞看到您遇到了一种异常(CryptographicException)而不是所有异常.>从基于哈希的初始化向量切换到随机IV – 这样可以防止利用数据和散列之间的关系更快地解密.>允许向后兼容性 – 如果这种情况发生了某些事情,则允许新行为部分恢复.>在进行代码审查通行证时,更改以清楚您已考虑过新的选项.

相关文章

### 创建一个gRPC服务项目(grpc服务端)和一个 webapi项目(...
一、SiganlR 使用的协议类型 1.websocket即时通讯协议 2.Ser...
.Net 6 WebApi 项目 在Linux系统上 打包成Docker镜像,发布为...
一、 PD简介PowerDesigner 是一个集所有现代建模技术于一身的...
一、存储过程 存储过程就像数据库中运行的方法(函数) 优点:...
一、Ueditor的下载 1、百度编辑器下载地址:http://ueditor....