发布日期：2006-10-10
更新日期：2006-10-12

受影响系统：

Microsoft ASP.NET 2.0

描述：

---

BUGTRAQ  ID: 20337
CVE(CAN) ID: CVE-2006-3436

ASP.NET是一套由Microsoft分发的帮助开发者构建基于WEB应用的系统。

ASP.Net Framework 2.0的服务器中存在一个跨站点脚本执行漏洞，可能在用户的浏览器中注入客户端脚本，该脚本可能欺骗内容、泄露信息或执行用户可以在受影响的网站上执行的任何操作。要试图利用此漏洞，需要进行用户交互。

<*来源：Jaswinder Hayre
  
  链接：http://www.us-cert.gov/cas/techalerts/TA06-283A.html
        http://www.microsoft.com/technet/security/Bulletin/MS06-056.mspx
*>

建议：

---

临时解决方法：

* 在运行.NET Framework 2.0的计算机上，不要将页面上控件的AutoPostBack属性设置为true。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS06-056）以及相应补丁:
MS06-056：Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure (922770)
链接：http://www.microsoft.com/technet/security/Bulletin/MS06-056.mspx

补丁下载：
http://www.microsoft.com/downloads/details.aspx?FamilyId=34C375AA-2F54-4416-B1FC-B73378492AA6

浏览次数：2947
严重程度：0（网友投票）