Padding oracle - Versione vulnerabile di ASP.NET

1

Vorrei installare la versione vulnerabile di ASP.NET a scopo di test. Ci ho pensato e credo che il modo migliore sarebbe quello di eliminare / disabilitare alcuni aggiornamenti di sicurezza per renderlo possibile. Attualmente sto eseguendo Windows XP con tutti gli aggiornamenti di sicurezza installati.

Al seguente link collegamento Ho visto che l'aggiornamento della sicurezza di ASP.NET 3.5 era KB2416471, ma non ho trovato quell'aggiornamento sul mio sistema, quindi suppongo che debba avere la versione più recente di ASP.NET 3.5 installata che già ha risolto questo problema.

Qualche idea su come potrei mettere le mani sul sistema che è ancora vulnerabile a Oracle Padding sul cookie di Autenticazione moduli ASP.NET per testarlo?

    
posta eleanor 27.01.2013 - 19:12
fonte

1 risposta

2

Suggerirei di eseguire una macchina virtuale con rete esterna disabilitata e installare un nuovo SO da una vecchia immagine ISO che precede la correzione. Disabilitare la rete esterna impedisce l'installazione automatica degli aggiornamenti; blocca anche "l'attivazione di Windows" in modo da avere solo pochi giorni o settimane per provarlo (ma puoi "fermare" l'orologio tra le esecuzioni: dato che la VM non ha una rete esterna, non ha modo di verificare le sue conoscenze dell'orologio interno).

Se la tecnologia VM è VirtualBox , utilizzare "Rete solo host" come descritto in il manuale . Ciò consentirà al tuo sistema desktop di accedere al server nella VM.

    
risposta data 27.01.2013 - 23:04
fonte

Leggi altre domande sui tag