微软最近发布了一个安全咨文，警告用户关于ASP.NET Web应用程序框架执行AES加密的方式中的漏洞。

　　该漏洞影响运行于Windows所有版本的.NET framework。在2002年该问题就已经出现，但是最近两个研究人员创建了一个新的hacking工具，可以利用该漏洞来崩溃哈希算法，并在网站的cookies中查看包含的信息。

　　微软响应通信组的经理Jerry Bryant说，“这次，我们没有发现利用该漏洞的任何攻击。我们建议用户查看缓解和应对该漏洞的安全公告。”

　　但该漏洞会引起严重的威胁，因为许多网站的Web应用程序使用ASP.NET。微软估计有25%的网站使用其.NET framework。

　　根据ASP.NET安全咨文，该漏洞可以使攻击者查看被Web服务器加密的数据，并篡改数据内容。微软表示，“通过发送改变的内容给受影响的服务器，攻击者可以查看服务器返回的错误代码。”

　　此外，微软开发了一个解决方案，可以阻止攻击，即让ASP.NET应用程序返回相同的错误页面（不管服务器遇到了什么错误）。微软也发布了一个脚本，开发者可以用它来确定部署的ASP.NET应用程序是否有易受攻击的配置。

　　上周，在ekoparty安全会议上，研究员Juliano Rizzo和Thai Duong发布了他们的Padding Oracle Exploit Tool（POET）。该工具可以自动找出和利用ASP.NET Web应用程序中的cookie加密padding漏洞。类似的错误加密执行（可以通过padding攻击技术来利用）也可以在其他流行的Web框架中找到，包括Ruby on Rails、OWASP企业安全API工具包。