狐的窩

由於有資安人員發現了 asp.net 的資安弱點，主要針對 .NET 在實作 AES 加解密演算法問題，讓駭客能在短時間內猜出網站的加密金鑰後入侵你的系統。只要是你的網站是以 asp.net 為基礎的都有這弱點，都會遭此弱點攻擊。

微軟於 2010/9/17 正是公布了 Microsoft Security Advisory (2416728) Vulnerability in ASP.NET Could Allow Information Disclosure 這個弱點，但是目前並沒有完整的解決方法，只提供了緊急應變措施(Workarounds)，請參照網頁上的說明對網站進行修正。

主要緊急應變措施如下：
1. 開啟 web.config
2. 修改 <customerrors> mode 與 defaultRedirect 屬性，兩個屬性都要設定
2.1 .NET 3.5 和 之前版本
<configuration>
<location allowOverride="false">
<system.web>
<customErrors mode="On" defaultRedirect="~/ error.html" />
</system.web>
</location>
</configuration>

2.2 .NET 3.5 SP1 和 之後版本
<configuration>
<location allowOverride="false">
<system.web>
<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
</system.web>
</location>
</configuration>

3. 新增一個錯誤訊息網頁，微軟有提供這網頁的寫法。

另有一個網頁可參考， ScottGu's Blog 上面有提供一個工具，可以針對此弱點檢查你的網站。