ASP.net资源请求漏洞利用工具PadBuster

在ASP.net 网站中,为了便于部署网站项目,开发者往往会将资源(图片、Javascript文件)嵌入到dll文件中。而网页中,会使用WebResource.axd?d=XXX的形式请求资源。其中,XXX采用CBC-R加密的方式生成的访问密钥。由于CBC-R算法存在Padding Oracle漏洞,所以导致渗透人员可以非法访问网站敏感文件,如web.config。PadBuster是Kali Linux提供的一款专向工具。该工具使用Perl语言编写,可以暴力破解访问密钥,获取指定文件的内容。

发表评论

邮箱地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>