Padding oracle - Versión vulnerable de ASP.NET

Navega tus respuestas
1

Me gustaría instalar la versión vulnerable de ASP.NET para propósitos de prueba. Lo he pensado y creo que la mejor manera sería eliminar / desactivar algunas actualizaciones de seguridad para que esto sea posible. Actualmente estoy ejecutando Windows XP con todas las actualizaciones de seguridad instaladas.

En el siguiente enlace enlace He visto que la actualización de seguridad 3.5 ASP.NET era KB2416471, pero no encontré esa actualización en mi sistema, así que supongo que debe tener instalada la versión más nueva de ASP.NET 3.5 que ya tiene esto arreglado

¿Alguna idea de cómo puedo obtener el sistema que aún es vulnerable al Padding Oracle en la cookie de autenticación de formularios de ASP.NET para probarlo?

    
pregunta eleanor 27.01.2013 - 19:12
fuente

1 respuesta

2

Sugeriría ejecutar una máquina virtual con la red externa deshabilitada e instalar un sistema operativo nuevo desde una imagen ISO antigua que sea anterior a la solución. Deshabilitar la red externa impide la instalación automática de actualizaciones; también bloquea la "activación de Windows", por lo que solo tendrá unos pocos días o semanas para intentarlo (pero puede "detener" el reloj entre ejecuciones: como la máquina virtual no tiene una red externa, no tiene forma de verificar su conocimiento) del reloj interno).

Si la tecnología de la máquina virtual es VirtualBox , use "Redes solo de host" como se describe en el manual . Esto permitirá que su propio sistema de escritorio acceda al servidor en la máquina virtual.

    
respondido por el Thomas Pornin 27.01.2013 - 23:04
fuente

Lea otras preguntas en las etiquetas

¿Cómo rastrear un spoofer IP? Problema extraño con el firewall bloqueando paquetes NATed