暗号化されたビューステートは脆弱ですか?
CSRFを防ぐための可能な手段としてビューステートを読み上げているときに、私は偶然に遭遇しました このマイクロソフトセキュリティ情報 は次のように述べています:
攻撃者がこの脆弱性を悪用した場合、サーバーによって暗号化されたビューステートなどのデータを読み取る可能性があります。
暗号化されたビューステートが安全であるといつも聞いていました。このエクスプロイトがどのように機能するかについて誰か誰か詳細がありますか?私はググリングをしましたが、詳細は見つかりませんでした。
これは悪名高いPadding Oracleの脆弱性です これは元の論文です 脆弱性を詳細に説明しています。
ビューステートに関連する悪用は、実際のアプリケーションロジックに大きく依存します。状態情報が適切に暗号化され、整合性がチェックされている場合、アプリケーション(開発者)は、含まれているデータが信頼できるものであると安全に推測できます(たとえば、入力検証が既に実行されているか、データがクライアントではなくサーバーから発信されています)。適切な多層防御対策が講じられていない場合、これは TOC-TO 競合と同様の状況を引き起こし、セキュリティの脆弱性を引き起こす可能性があります。
例: PadBuster は、WebResource/ScriptResourceハンドラーが、パラメーターがサーバーによってのみ適切に設定され、パストラバーサルをチェックしなかったと想定していることを利用しています。