我无法弄清楚,一个随机的小睡眠延迟怎么可以成为防止攻击者探测我们网站的解决方案。
这是他的代码片段:
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
<html>
<head runat="server">
<title>Error</title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
答案 0 :(得分:6)
这是为了防止人们不断触发您的错误页面并利用the recent ASP.NET vulnerability。他们需要大量的失败来利用这种漏洞。
睡眠延迟不会“阻止”访问您的网页。可以认为它类似于暴力破解密码;如果你需要在猜测之间等待5秒而不是5ms,你需要花一点时间才能找到pw。
答案 1 :(得分:4)
简单来说,vunerability是关于猜测一个非常长的密码。 (这是用于加密会话状态的密钥,除其他外?)
想象一下,您编写了一个检查密码的例程:
bool checkPassword(string userInput)
{
for(int index = 0; index < password.length; index++)
{
if(userInput[index] != password[index]) {
return false;
}
}
return true;
}
这将允许对密码算法进行计时攻击,因为您可以一次检查一个字符,因为密码越正确就需要更长的时间。即。 想象一下密码是'胡萝卜'
调用checkPassword('ca')将花费比checkPassword('aa')更长的时间,因此您可以一次遍历该字符。
因为asp.net堆栈中的某个地方有这样糟糕的实现,添加随机睡眠有助于抛出定时攻击......(但我想象的并不完美)
有关详细信息,请参阅: