9:57
15/9/2010

Sposób w jaki ASP.NET szyfruje ciastka nie jest bezpieczny. Szyfrowanie można złamać, co w konsekwencji pozwala atakującemu na wgląd w prywatne dane sesji użytkownika webaplikacji pisanych w ASP.NET. Szacuje się, że na atak podatnych jest 25% wszystkich webaplikacji na świecie.

Ataki Padding Oracle

Błąd wynika z niepoprawnej implementacji AES-a w trybie CBC (Cipher Block Chaining) — jest ona podatna na atak Oracle Padding, pozwalający na odszyfrowanie danych bez znajomości klucza. Odnalezienie właściwego klucza polega w skrócie na: modyfikacjach w paddingu, powtórzeniach żądań do serwera i badaniu odpowiedzi/błędów zwracanych przez serwer.

Jak twierdzą odkrywcy błędu, Rizzo oraz Duong:

można rozszyfrować ciasteczka, podglądać stany, tickety służace do uwierzytelniania formularzy, hasła, dane użytkowników oraz wszystko to, co zostało zaszyfrowane przy użyciu API frameworka ASP.NET. Na atak podatna jest każda webaplikacja w ASP.NET

Rizzo i Duong w czerwcu zaprezentowali narzędzie Poet (Padding Oracle Exploitation Tool) służące do ataku na framework JSF (JavaServer Faces):

Szczegóły ataku na ASP.NET zostaną ujawnione na konferencji Ekoparty, gdzie Rizzo zamierza pokazać jak zdobyć uprawnienia administratora na przy pomocy webaplikacji ASP.NET.

Nie taki straszny błąd straszny, jak go malują?

Mam wrażenie, że niebawem wszystkie polskie serwisy internetowe zaczną lamenty, jaki to straszny błąd i że katastrofa… Niesłusznie, bo badacze, zapewne nakręcając hype przed swoją prezentacją, zapomnieli wspomnieć o tym, że zdobycie klucza pozwalającego na odszyfrowanie danych sesyjnych jest jak najbardziej cool, ale te ciastka, to jeszcze trzeba podsłuchać… :>

P.S. A w jakim frameworku powstała webaplikacja twojego banku internetowego? :-)

Aktualizacja 18.09.2010
Microsoft potwierdził błąd i pokazał jak można się przed nim “na szybko” zabezpieczyć.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

14 komentarzy

Dodaj komentarz
  1. Widzę tu raczej zastosowanie podczas pentest’u. Wgląd w dane sesji, może zdradzić istotne szczegóły na temat działania aplikacji.

  2. >P.S. A w jakim frameworku powstała webaplikacja twojego banku internetowego? :-)
    No nie zgadne… :P
    A czemu? A bo mają support i w razie problemów można zwalić ‘na kogoś innego’

  3. https://www.mbank.com.pl/frames.aspx : ((((

  4. No to hackujemy idg.pl =)

  5. moj bank jest chyba w php ale czasami tez otwieram go adobe readerze

  6. Konretne (obszerne) omówienie narzędzia “konkurencyjnego” do P.O.E.T. razem z solidną analizą ataku http://www.gdssecurity.com/l/b/2010/09/14/automated-padding-oracle-attacks-with-padbuster/

  7. >jak zdobyć uprawnienia administratora na przy pomocy webaplikacji ASP.NET.

  8. @Kris

    to że tam jest .aspx nie znaczy że jest napisana w asp :)… to od serwera zależy w jaki sposób i co zinterpretuje, a nóż widelec to takie STO :)

  9. To w czym jest napisana aplikacja nie zawsze jest oczywiste…

    http://bok.plusgsm.pl/Scripts/rightnow.cfg/php.exe/enduser/std_alp.php?p_sid=tRxKQaSi&p_accessibility=0

    ;-)

  10. Kto pisze webaplikacje w ASP?!

  11. pewnie Ci bogatsi bo php + nadzędzia do niego to soft dla plebsu.

  12. […] dni temu ostrzegaliśmy przed atakiem na webaplikacje pisane w ASP.NET. Dziś znamy już szczegóły błędu, a Microsoft potwierdził zagrożenie. Poniżej prezentujemy […]

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: