Eu sei que já existem algumas perguntas sobre o SO sobre a exploração do Oracle Padding, mas nenhuma delas explica como ele baixa o web.config. Executo alguns aplicativos ASP .NET que já testei usando os fatores de mitigação recomendados pela Microsoft, mas ainda tenho medo de que as pessoas consigam obter o web.config.

Alguém pode explicar como eles fazem isso ou até mesmo fornecer um link para uma ferramenta que eu possa usar para testar meu site. Acho que a explicação oficial dessa parte do ataque está realmente faltando.

O ataque que foi mostrado em público depende de um recurso do ASP.NET que permite o download de arquivos (normalmente javascript e css) e protegido por uma chave enviada como parte da solicitação. Infelizmente, se você conseguir forjar uma chave, poderá usar esse recurso para baixar o arquivo web.config de um aplicativo (mas não os arquivos fora do aplicativo).