Уязвимость в ASP.Net открывает широкий путь для нападения

Уязвимость в методе, которым веб-приложения обрабатывают зашифрованные куки сессий, подвергает банковские аккаунты значительному риску.

Ошибка в Microsoft ASP.Net связана с алгоритмом шифрования AES и обработкой ошибок в нем. "Если зашифрованный текст изменяется, приложение генерирует ошибку, которая дает нападающему некоторую информацию о том как работает в приложении процесс дешифровки", - пишет один из авторов исследования. "Чем больше ошибок - тем больше данных. Приемлемое их количество может дать хакеру достаточно сведений для реального подбора ключа, используемого при шифровании". Это может позволить взломщику расшифровать перехваченные куки, подделать аутентификационные ключи и выполнить ряд других атак.

Исследователи Таи Дуонг и Джулиано Риццо разработали эксплоит, который реализует атаку основываясь на предыдущих работах по взлому других фреймворков.

"Самое важное в новой уязвимости то, что она касается любого ASP.NET приложения", - объясняет Риццо. "Вкратце - вы можете расшифровать куки, просмотреть статус, сформировать тикет авторизации, пароль пользователя или подменить данные, в общем испортить все, что шифруется при помощи API. Влияние этой уязвимости зависит от приложения, установленного на сервере, и колеблется от раскрытия информации до полной компрометации системы".

Он так же поясняет, что данная атака позволяет "среднеобразованному" хакеру взломать сайт за час или даже быстрее.

"Первая часть атаки требует нескольких тысяч запросов, но как только она удастся и атакующий получит секретный ключ, она станет полностью незаметна. А криптографические знания, требуемые для ее осуществления, крайне незначительны".



www.xakep.ru/post/53280/
14.09.2010

 

Судя по описанию, вот это уже что-то интересное нарыли.

 

А всетаке хотелось бы пример ксплоита

 

Поподробней, или пример.

 

Называется это добро Padding Oracle attack

Video youtube

Video[2] взлом CAPTCHA

exploit страница загрузки >>>

Пользуйтесь на здоровице

 

На твитере написано

 

tmp до твиттера не догуглил)) ну страница сплоита есть там и ждем обновления

upd

Automated Padding Oracle Attacks with PadBuster тут

 

С капчей зачетное видео. Пусть хоть и долго, но главное сама идея положена. Я так понимаю тут уже никакие шумы не помеха.

 

Tigger это просто показ работы, хотя похоже на то что тот encypted являлся состоянием к js скрипту

 

Ну вот, первая серьёзная ошибка в ASP.