Главная
Четверг, 28.03.2024, 21:09



Приветствую Вас Гость | RSS
Главная
Меню

Новости дня
Название: Twitter объясняется по поводу уязвимости
Автор новости: Beggins
Категория:
Дата добавления: 25.09.2010
Коментариев: 0
Название: Microsoft предлагает бесплатные средства обеспечения безопасности для малого бизнеса
Автор новости: Beggins
Категория:
Дата добавления: 25.09.2010
Коментариев: 1
Название: McAfee создает сервис коротких ссылок
Автор новости: Beggins
Категория:
Дата добавления: 25.09.2010
Коментариев: 0
Название: Хабр атакован DDoS
Автор новости: Beggins
Категория:
Дата добавления: 25.09.2010
Коментариев: 0

Реклама
TUROK.RU - Вся Турция Submitter.ru - Регистрация в поисковых системах Красноярский край, Красноярск, политика информационный портал, Скобари, информация квартиры, новостройки, коттеджи Ульяновск, Заволжский район, родина Ленина способности, эмоции, психология общения советы, народные рецепты, народная медицина фланцы, отводы, клапаны супермаркеты, новости торговли, универмаги защита прав, судебная практика, трудовое законодательство предприниматели, фирмы, предприятия портал о работе, портал об образовании, вакансии ингосстрах, банки, кредит на неотложные нужды

Партнеры
Refo.ru - русские сайты Мобильные телефоны, полифония, рингтоны, цены на телефоны, JAVA игры! Goon Каталог сайтов Амортизаторы BOGE (Германия) для ВАЗ, TOYOTA, BMW, AUDI, HONDA, Мерседес, OPEL, FORD, MITSUBISHI и других автомобилей. Система контекстного показа рекламы ID5.Ru

Главная » 2010 » Сентябрь » 14 » Уязвимость в ASP.Net открывает широкий путь для нападения
22:15
Уязвимость в ASP.Net открывает широкий путь для нападения
Уязвимость в методе, которым веб-приложения обрабатывают зашифрованные куки сессий, подвергает банковские аккаунты значительному риску.

Ошибка в Microsoft ASP.Net связана с алгоритмом шифрования AES и обработкой ошибок в нем. "Если зашифрованный текст изменяется, приложение генерирует ошибку, которая дает нападающему некоторую информацию о том как работает в приложении процесс дешифровки", - пишет один из авторов исследования. "Чем больше ошибок - тем больше данных. Приемлемое их количество может дать хакеру достаточно сведений для реального подбора ключа, используемого при шифровании". Это может позволить взломщику расшифровать перехваченные куки, подделать аутентификационные ключи и выполнить ряд других атак.

Исследователи Таи Дуонг и Джулиано Риццо разработали эксплоит, который реализует атаку основываясь на предыдущих работах по взлому других фреймворков.

"Самое важное в новой уязвимости то, что она касается любого ASP.NET приложения", - объясняет Риццо. "Вкратце - вы можете расшифровать куки, просмотреть статус, сформировать тикет авторизации, пароль пользователя или подменить данные, в общем испортить все, что шифруется при помощи API. Влияние этой уязвимости зависит от приложения, установленного на сервере, и колеблется от раскрытия информации до полной компрометации системы".

Он так же поясняет, что данная атака позволяет "среднеобразованному" хакеру взломать сайт за час или даже быстрее.

"Первая часть атаки требует нескольких тысяч запросов, но как только она удастся и атакующий получит секретный ключ, она станет полностью незаметна. А криптографические знания, требуемые для ее осуществления, крайне незначительны".

Просмотров: 392 | Добавил: Beggins | Рейтинг: 0.0/0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Опрос
Какая скорость Вашего Интернета-соединения?
Всего ответов: 9

Теги

Чат
200

Статискика
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Copyright AVATAR © 2024
Хостинг от uCoz