3000个暴露的ASP.NET密钥可能引发代码注入攻击

　　研究人员发现超过3000个公开披露的ASP.NET密钥，攻击者可利用这些密钥发动ViewState代码注入攻击，在目标服务器上执行恶意操作。

　　微软威胁情报团队解释说，开发人员从这些公开可访问的资源（如代码文档和存储库）中获取了这些ASP.NET机器密钥。

　　研究人员承认，虽然使用公开可访问的代码是一种常规做法，但这里的危险在于，许多ViewState代码注入攻击会使用在暗网论坛上出售的被盗或泄露的密钥。他们补充说，这些密钥的风险更高，因为它们存在于多个代码存储库中，并且可能未经修改就被推送到开发代码中。

　　微软建议公司不要从公开来源复制密钥，并定期更换这些密钥。为了进一步遏制这种做法，微软还从其公共文档中删除了包含密钥样本的有限实例。“微软关于使用公开可用的ASP.NET机器密钥的警告，引起了人们对应用程序和API开发中不良编码实践所带来的重大安全风险的关注，”Salt Security网络安全战略总监Eric Schwake说。“开发人员经常为了方便而使用公共资源和代码片段，但这种做法可能会无意中造成漏洞，特别是在开发管理敏感数据并集成关键系统的应用程序或API时。”

　　在此情况下，Schwake解释说，使用公开披露的机器密钥会使应用程序及其相关的API面临攻击风险，因为恶意人员可以轻松访问这些密钥。为了减轻此类风险，Schwake表示，开发人员必须优先采用安全的编码实践，避免使用公开披露的机密，并确保所有第三方库和组件都是最新的，且不存在已知漏洞。

　　“对于经常在线暴露且容易被攻击者瞄准的API来说，这一预防措施尤为重要，”Schwake说。“此外，对开发人员进行广泛的安全培训至关重要，让他们了解安全的编码实践，特别是与API开发和使用公开可访问资源的危险性相关的实践。”

　　Black Duck软件供应链风险战略主管Tim Mackey补充说，从根本上讲，我们看到的是系统配置错误，这种配置错误允许恶意活动。在这种情况下，Mackey说，ViewState将包含使用在互联网上发布的密钥加密的恶意有效载荷。

　　“此类密钥可能源自示例代码或提供给试图学习新API或编码主题的开发人员的演示代码，”Mackey说。“原始作者提供该密钥作为示例，期望使用示例代码的人会用适合其环境的唯一密钥替换演示密钥。问题是，使用示例代码的人可能不了解所有规则，导致示例代码被直接复制到应用程序中。”