本文主要介紹一個檢測Padding Oracle的一個工具:
Ethical Hacking ASP.NET。
這是一個在codeplex上開源的asp.net安全檢測工具,最新的1.3版本一個很重要的功能就是Padding Oracle的檢測,昨天我隨意的檢測了一下博客園的設置,今天博客園團隊進行了改進,用這個工具檢測了 一下,發現還是可以檢測出來。
那麼我們來檢測一下http://www.asp.net,工具已經檢測不出來了
使用方法非常簡單
目標URL文本框輸入一個有效的URL。您也可以選擇點擊打開來使用您的默認浏覽器的檢查URL。
您可以選擇指定一個超時值,以控制響應超時時間。
點擊Send test requests 按鈕,將生成的測試請求發送到服務器。:(請耐心等待,目前沒有進度條顯 示完成情況。
當測試完成後,請求的細節,和響應將顯示在輸出窗口 。當所有收到的答復,Lens比較的HTTP錯誤代 碼和響應請求的內容生成(即通常是一個錯誤頁)。 如果它們不同,它很可能比該網站很容易受到 Padding Oracle Attack。如果它們匹配,這個網站可能 經受得住Padding Oracle Attack。
這是一個開源的工具包,代碼可以在這裡下載 http://ethicalhackingaspnet.codeplex.com/releases/view/52623
作者: 自由、創新、研究、探索……
