Padding Oracle漏洞

黑客能够使用Padding Oracle攻击方式来解密cookie，加密状态及认证密码等关键信息。

微软的IIS服务器接收到客户端篡改过的加密内容，会判断是否和发送前的内容符合，如果不符合，就会返回特定的错误码，并给出加密字符串排列（padding）是VALID、INVALID的提示。客户端根据这些提示，反复尝试，经过 128 * b（b为加密内容的字节数）次尝试后，即可破解出machine key，从而伪造出授权的高权限cookie，可以窃取session、viewstate中的内容，可以获取web应用进程涉及到的敏感数据和文件。
参考:“Padding Oracle攻击实战（Practical Padding Oracle Attacks）：http://static.usenix.org/events/woot10/tech/full_papers/Rizzo.pdf

升级补丁修复问题，补丁获取链接http://technet.microsoft.com/en-us/security/bulletin/MS10-070

暂无相关信息