Nel caso di VisualStudio2008 Express il web.config disattiva di default il customErrors come illustrato di seguito:

<!--
La sezione <customErrors> consente di configurare
l'operazione da eseguire in caso di errore non gestito
durante l'esecuzione di una richiesta. In particolare,
consente agli sviluppatori di configurare le pagine di errore HTML
in modo che vengano visualizzate al posto dell'analisi dello stack dell'errore.

<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
<error statusCode="403" redirect="NoAccess.htm" />
<error statusCode="404" redirect="FileNotFound.htm" />
</customErrors>
-->

Conviene quindi attivarlo per evitare l'attacco?
Grazie.

Attenzione al fatto che abilitare i customErrors non basta. Anche il ritardo con cui viene effettuato il redirect verso la pagina sono infatti sufficienti all'utente malevolo come hint per l'attacco.

Pertanto si raccomanda anche di inserire un delay random nella pagina di errore.

Inoltre buttate un'occhio all'event viewer: un gran numero di errori simili a questo (migliaia al minuto..) potrebbero essere indice di un attacco in corso.

System.Security.Cryptography.CryptographicException: Padding is invalid and cannot be removed.
at System.Security.Cryptography.RijndaelManagedTransform.DecryptData(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount, Byte[]& outputBuffer, Int32 outputOffset, PaddingMode paddingMode, Boolean fLast)
at System.Security.Cryptography.RijndaelManagedTransform.TransformFinalBlock(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount)
at System.Security.Cryptography.CryptoStream.FlushFinalBlock()
at System.Web.Configuration.MachineKeySection.EncryptOrDecryptData(Boolean fEncrypt, Byte[] buf, Byte[] modifier, Int32 start, Int32 length, Boolean useValidationSymAlgo, Boolean useLegacyMode, IVType ivType)
at System.Web.UI.Page.DecryptStringWithIV(String s, IVType ivType)
at System.Web.Handlers.AssemblyResourceLoader.System.Web.IHttpHandler.ProcessRequest(HttpContext context)
at System.Web.HttpApplication.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
at System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

Ciao!
m.

tenere gli errori su off *non* è mai saggio, perchè si vedono anche altre info sensibili. in maniera particolare, questa vulnerabilità è particolarmente legata a questa cattiva impostazione. per cui si, non va messo su Off.

è un delay lato server e non dovresti accorgertene, perchè lo scopo è di cambiare in maniera impercettibile il delay stesso ogni volta.