微软在2010年9月17号发布了一个关于ASP.NET平台的安全漏洞公告,这个公告就是关于Padding Oracle攻击的,其实这个漏洞并不仅是ASP.NET才存在,而ASP.NET PaddingOracle这种说法引人注目的原因可能是由于微软官方的反应和其应用比较广泛。

Padding Oracle Attack还是颇具威力的，ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。还是看 Juliano Rizzo and Thai Duong 的相关Paper。 另外就是padbuster这个工具也是针对padding oracle的自动化实现，而且作者写的文章也是阐述padding oracle攻击原理最好的一篇。更详细的介绍点击[Padding Oracle Attack的一些细节与实现]

以下为Ay暗影带来的Padding Oracle Attack实战视频：