近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分开发人员错误地从可公开访问的代码文档和存储库中整合了已公开的 .NET 机器密钥,为威胁行动者提供了可乘之机。
01. ViewState攻击
ViewState是 .NET Web窗体用于在回发之间保存页面和控件状态的一种机制。ViewState数据被存储在页面上的隐藏字段中,并使用Base64编码。
为保护ViewState免受篡改和信息泄露,.NET页面框架使用机器密钥:ValidationKey和DecryptionKey。这些密钥可自动生成并存储在注册表中,也可在配置文件中手动指定。
若这些密钥被盗或泄露给威胁者,他们可利用这些密钥制作恶意ViewState,并通过POST请求发送至网站。当目标服务器上的.NET运行时处理该请求时,由于使用了正确的密钥,ViewState将被解密并验证通过。随后,恶意代码将被加载到工作进程内存中并执行,使威胁者能够在目标IIS Web服务器上获得远程代码执行能力。
为了直观展现此类攻击的危害,并在我们的dot.Net安全代码审计课程中深入讲解,我们设计了视频教程和demo代码案例。通过这些材料,可以亲自挖掘漏洞,并观察实际操作触发漏洞的过程。以下图示展示了相关的内容和演示效果。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
