去年ASP.NET爆出了MS10-070漏洞,也就是俗稱的Padding Oracle,一直想找個網站試下,利用google搜索關鍵字WebResource.axd,找有此漏洞的網站,一直沒有成功,今天換了關鍵字,成功利用此漏洞!利用的是GDSSECURITY的一款工具,雖然漏洞是利用成功了,對造成此漏洞的詳細原因也瞭解,但對這款漏洞利用工具爲什麼這麼用卻是一頭霧水,也曾經和大牛81Sec的冷鋒討論過這個問題,大牛對此也不敢肯定,回答說可能類似於WEP破解的IV收集,對此我不敢苟同!我也給工具的作者去了郵件詢問,沒有迴應!有了解的大牛麼,給吱一聲!
