上一周爆出了一个关于ASP.NET的安全漏洞，有关这个漏洞的第一篇文章应该是ScottGu的说明，但是其中各方面谈的也是语焉不详。由于这个漏洞关系到“安全”这样敏感的话题，其中又涉及到密码学这样常人看不明白的技术，于是导致了各种猜测和推测，其中甚至与我对ASP.NET的了解所有矛盾，因此我觉得也大都不靠谱。中秋休息在家，我简单地了解了一下与这个漏洞有关的内容，总结出了一些“能够说服自己”的内容，在此记录下来。因此，这篇文章的面向读者是那些和我差不多的同学：对ASP.NET有所了解，但对密码学知之甚少。

什么是Padding和Oracle

要谈这个问题，先要了解什么是Padding Oracle Attack。有些文章把Padding和Oracle，与CSS样式表或是那个收购了Sun的甲骨文公司联系起来，这就驴唇不对马嘴了。

Padding在这里的含义是“填充”，因为对于加密算法来说，它们是基于等长的“数据块”进行操作的（如对于RC2，DES或TripleDES算法来说这个长度是8字节，而对于Rijndael算法来说则是16、24或32字节）。但是，我们的输入数据长度是不规则的，因此必然需要进行“填充”才能形成完整的“块”。“填充”时比较常用的是PKCS #5规则，简单地说，便是根据最后一个数据块所缺少的长度来选择填充的内容。

例如，数据块长度要求是8字节，如果输入的最后一个数据块只有5个字节的数据，那么则在最后补充三个字节的0x3。如果输入的最后一个数据块正好为8字节长，则在最后补充一个完整的长为8字节的数据块，每个字节填0x8。使用这个规则，我们便可以根据填充的内容来得知填充的长度，以便在解密后去除填充的字节。

在解密时，如果算法发现解密后得到的结果，它的填充方式不符合规则，那么表示输入数据有问题，对于解密的类库来说，往往便会抛出一个异常，提示Padding不正确。Oracle在这里便是“提示”的意思，和甲骨文公司没有任何关系。

如何进行Padding Oracle Attack

刚才已经提到，如果输入的密文不合法，类库则会抛出异常，这便是一种提示。攻击者可以不断地提供密文，让解密程序给出提示，不断修正，最终得到的所需要的结果。这里的一个关键在于，攻击者所需要的提示仅仅是“解密成功与否”这样一个二元信息，例如它在一个Web程序中可能只是“200 - OK”及“500 - Internal Server Error”这样的表现形式，而不需要其他任何详细信息。

例如，现代流行的Web框架大都是开源的，因此它的加密方式是完全透明的，对于攻击者来说唯一不知道的便是密钥。于是攻击者便可以根据这个加密方式设计有针对性的密文，最终得到密钥（及IV等信息）。在很多时候，一个网站都会使用同样的密钥和IV，于是只需从一个漏洞，便可以在网站的其他方面进行破坏，或解密信息，或绕开验证。

在具体操作上还可以有许多方式进行辅助，在Juliano Rizzo和Thai Duong的《Practical Padding Oracle Attacks》（及此）论文（下文称PPOA）中便提到了很多方式，例如使用Google搜索异常的关键字（这说明许多站点都把异常信息输出在页面上），检查代码，从外表检查一些BASE64形式的字符串，猜测常见的分割符，如“--”，“|”或是“:”等等。PPOA认为，如今Padding Oracle漏洞与SQL注入，脚本注入等漏洞一样无处不在，论文中还详细讨论了利用这个漏洞来攻击eBay拉丁美洲站点，CAPTCHA等应用，以及在JSF（包括Apache MyFaces和Sun Mojarra实现），Ruby on Rails等Web框架中的漏洞——奇怪的是其中反而没有提到ASP.NET。

关于Padding Oracle Attack的具体细节，您可以从《Automated Padding Oracle Attacks with PadBuster》及《Padding Oracle Attacks on CBC-mode Encryption with Secret and Random IVs》两篇文章中得到更详细的信息，它们似乎并不像表面那样高深莫测，尤其是前者，有机会我也打算将它翻译一下。

对ASP.NET进行Padding Oracle Attack

那么，这次又是如何对ASP.NET站点进行攻击的呢？这里的关键便是PPOA论文的作者所提供的一段视频，其中使用了WebResources.axd进行探测工作。WebResource.axd有一个特点，便是会对错误的密文产生500错误，而对正确的密文产生404错误，这便形成了足够的提示。好，那么假设攻击者已经得到了Machine Key，那么它又能造成什么危害呢？