关于ASP.NET漏洞的补充信息

过去几天我们收到了关于ASP.NET漏洞的一些额外问题。本文将回答其中最常见的问题。

我的ASP.NET站点是否受此问题影响？

是的，所有使用ASP.NET的站点都会受到此漏洞的影响。您应遵循公告中概述的建议。公告包含一个可帮助加固服务器防御攻击的临时解决方案。在我们之前的博客文章中，我们提供了一个脚本，可帮助您识别可能受益于此加固措施的ASP.NET站点。

我的站点是否遭到攻击？

公开披露的漏洞利用会导致Web服务器向恶意客户端生成数千（或数万）个HTTP 500和404错误响应。您可以在网络防火墙或入侵检测系统中使用有状态过滤器来检测此类模式并阻止潜在攻击者。IIS 7支持的动态IP限制模块也可用于阻止这些类型的攻击。

此外，如果您的站点遭到攻击，您应在应用程序事件日志中看到类似以下警告：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

事件代码：3005  
事件消息：发生了未处理的异常。  
事件时间：11/11/1111 11:11:11 AM  
事件时间（UTC）：11/11/1111 11:11:11 AM  
事件ID：28e71767f3484d1faa90026f0947e945  
事件序列：133482  
事件发生次数：44273  
事件详细代码：0  

应用程序信息：  
应用程序域：c1db5830-1-129291000036654651  
信任级别：完全  
应用程序虚拟路径：/  
应用程序路径：C:\foo\TargetWebApplication\  
计算机名称：FOO  

进程信息：  
进程ID：3784  
进程名称：WebDev.WebServer40.exe  
帐户名称：foo  

异常信息：  
异常类型：CryptographicException  
异常消息：填充无效且无法移除。

事件日志条目中突出显示的异常详细信息是最重要的信息。在开发新的ASP.NET网站代码时可能会遇到此错误，并且在某些生产环境中也可能发生。但是，如果它直到最近才出现在您的生产服务器上，则可能表明存在攻击。验证这些异常的时间是否与上述大量请求相对应，将增加此条目是由攻击引起的置信度。

-Kevin Brown, MSRC工程团队