微軟警告,ASP.NET發現安全漏洞,駭客可能藉此竊取或竄改網站內部資料釀成資安風險,微軟已建議客戶進行補救措施。
根據微軟在9/17的安全公告,微軟調查發現ASP.NET上存在漏洞,駭客可由反覆檢視伺服器傳回的錯誤資料,藉此猜測破解管理者金鑰,檢閱或修改網站內部資料。
雖然目前微軟尚未接獲ASP.NET使用者反映遭駭客以此入侵竊取資料,但這個漏洞依作業系統不同,影響的ASP.NET版本涵蓋1.0至4.0,也引發國內知名部落客及作家「保哥」的注意,並建議ASP.NET使用者儘速修改設定檔,避免被駭客循漏洞入侵的可能。
微軟全球技術資源服務中心專案經理林宏嘉表示,根據微軟的調查,駭客可以利用ASP.NET使用者關閉web.config檔中customErrors的設定,藉多次試驗掌握伺服器回傳的網站錯誤資訊,以突破網站的保護進入內部檢視或竄改資料。
林宏嘉表示,雖然只要開啟customErrors就可以避免傳錯誤訊息,或設定導引至其他頁面降低被駭客破解網站保護的風險,但部份ASP.NET使用者為了方便檢視錯誤習慣關閉customErrors,網站上線時忘了時再開啟,讓駭客得以循線破解網站防護,建議ASP.NET用戶儘快檢視該功能是否設定開啟,降低被入侵的可能性。
微軟在安全公告頁面說明如何設定customErrors開啟,未來也會推出安全更新協助處理漏洞問題。
熱門新聞
2025-02-24
2025-02-24
2025-02-23
2025-02-21
Advertisement