mrro
Tổng số bài gửi : 16
Join date : 27/09/2010
 |  Tiêu đề: Lỗi zero-day của ASP.NET  Mon Sep 27, 2010 12:54 pm | |
| Hi mọi người, Trong tuần tới, tôi và một đồng nghiệp sẽ trình bày về một lỗ hổng zero-day nghiêm trọng của ASP.NET tại hội thảo EKOPARTY, Argentina. Trong báo cáo "Practical Padding Oracle Attacks", chúng tôi giới thiệu CBC-R và bàn đến các khả năng sử dụng CBC-R để có thể thực hiện các tấn công nghiêm trọng. Và lần này, chúng tôi sẽ chứng minh: với CBC-R, tấn công padding oracle không chỉ còn dừng lại ở mức giải mã view state hoặc là vượt CAPTCHA, mà còn có thể dẫn đến chiếm trọn quyền trên hệ thống. http://www.ekoparty.org/eng/thai-duong-2010.php wrote: - Trích dẫn :
- Finally we demonstrate the attacks against real world applications. We use the Padding Oracle attack to decrypt data and use CBC-R to encrypt our modifications. Then we abuse components present in every ASP.NET installation to forge authentication tickets and access applications with administration rights. The vulnerabilities exploited affect the framework used by 25% of the Internet websites.The impact of the attack depends on the applications installed on the server, from information disclosure to total system compromise.
Vài bữa nữa sẽ có video trình diễn. Theo tôi quan sát thì có khá nhiều web site ở VN cũng như trên thế giới bị ảnh hưởng bởi lỗ hổng này. Bạn nào có sử dụng công nghệ này thì nên chú ý theo dõi. -m | |
|
