9:57
15/9/2010

Sposób w jaki ASP.NET szyfruje ciastka nie jest bezpieczny. Szyfrowanie można złamać, co w konsekwencji pozwala atakującemu na wgląd w prywatne dane sesji użytkownika webaplikacji pisanych w ASP.NET. Szacuje się, że na atak podatnych jest 25% wszystkich webaplikacji na świecie.

Ataki Padding Oracle

Błąd wynika z niepoprawnej implementacji AES-a w trybie CBC (Cipher Block Chaining) — jest ona podatna na atak Oracle Padding, pozwalający na odszyfrowanie danych bez znajomości klucza. Odnalezienie właściwego klucza polega w skrócie na: modyfikacjach w paddingu, powtórzeniach żądań do serwera i badaniu odpowiedzi/błędów zwracanych przez serwer.

Jak twierdzą odkrywcy błędu, Rizzo oraz Duong:

można rozszyfrować ciasteczka, podglądać stany, tickety służace do uwierzytelniania formularzy, hasła, dane użytkowników oraz wszystko to, co zostało zaszyfrowane przy użyciu API frameworka ASP.NET. Na atak podatna jest każda webaplikacja w ASP.NET

Rizzo i Duong w czerwcu zaprezentowali narzędzie Poet (Padding Oracle Exploitation Tool) służące do ataku na framework JSF (JavaServer Faces):

Szczegóły ataku na ASP.NET zostaną ujawnione na konferencji Ekoparty, gdzie Rizzo zamierza pokazać jak zdobyć uprawnienia administratora na przy pomocy webaplikacji ASP.NET.

Nie taki straszny błąd straszny, jak go malują?

Mam wrażenie, że niebawem wszystkie polskie serwisy internetowe zaczną lamenty, jaki to straszny błąd i że katastrofa… Niesłusznie, bo badacze, zapewne nakręcając hype przed swoją prezentacją, zapomnieli wspomnieć o tym, że zdobycie klucza pozwalającego na odszyfrowanie danych sesyjnych jest jak najbardziej cool, ale te ciastka, to jeszcze trzeba podsłuchać… :>

P.S. A w jakim frameworku powstała webaplikacja twojego banku internetowego? :-)

Aktualizacja 18.09.2010
Microsoft potwierdził błąd i pokazał jak można się przed nim “na szybko” zabezpieczyć.

Przeczytaj także:


14 komentarzy

Dodaj komentarz
  1. Widzę tu raczej zastosowanie podczas pentest’u. Wgląd w dane sesji, może zdradzić istotne szczegóły na temat działania aplikacji.

  2. >P.S. A w jakim frameworku powstała webaplikacja twojego banku internetowego? :-)
    No nie zgadne… :P
    A czemu? A bo mają support i w razie problemów można zwalić ‘na kogoś innego’

  3. https://www.mbank.com.pl/frames.aspx : ((((

  4. No to hackujemy idg.pl =)

  5. moj bank jest chyba w php ale czasami tez otwieram go adobe readerze

  6. Konretne (obszerne) omówienie narzędzia “konkurencyjnego” do P.O.E.T. razem z solidną analizą ataku http://www.gdssecurity.com/l/b/2010/09/14/automated-padding-oracle-attacks-with-padbuster/

  7. >jak zdobyć uprawnienia administratora na przy pomocy webaplikacji ASP.NET.

  8. @Kris

    to że tam jest .aspx nie znaczy że jest napisana w asp :)… to od serwera zależy w jaki sposób i co zinterpretuje, a nóż widelec to takie STO :)

  9. To w czym jest napisana aplikacja nie zawsze jest oczywiste…

    http://bok.plusgsm.pl/Scripts/rightnow.cfg/php.exe/enduser/std_alp.php?p_sid=tRxKQaSi&p_accessibility=0

    ;-)

  10. Kto pisze webaplikacje w ASP?!

  11. pewnie Ci bogatsi bo php + nadzędzia do niego to soft dla plebsu.

  12. […] dni temu ostrzegaliśmy przed atakiem na webaplikacje pisane w ASP.NET. Dziś znamy już szczegóły błędu, a Microsoft potwierdził zagrożenie. Poniżej prezentujemy […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: