Показано с 1 по 1 из 1.

Исследователи выпустили автоматизированную утилиту для компрометации сайтов

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Исследователи выпустили автоматизированную утилиту для компрометации сайтов

    На этой неделе исследователи Джулиано Риццо и Тай Донг выпустили анонсированную в феврале утилиту Padding Oracle Exploitation Tool (Poet) , которая позволяет получать персональную информацию и выполнять произвольный код на тысячах веб-сайтов. Для этого Poet использует уязвимость в популярной платформе разработки JavaServer Faces.

    Программа Poet способна расшифровывать закодированные данные без знания секретного ключа. Она позволяет хакерам обходить CAPTCHA, получать доступ к личной информации, хранимой на порталах банков, онлайн-магазинов и других компаний. В некоторых случаях утилиту можно использовать для запуска на серверах вредоносного кода.

    Poet эксплуатирует хорошо известную уязвимость при шифровании текста, хранимого в cookie, скрытых полях HTML и параметрах запросов. Модифицируя зашифрованную информацию и отправляя ее обратно на сервер, злоумышленники имеют возможность восстанавливать небольшие фрагменты зашифрованных данных, получая таким образом доступ к паролям и закрытым директориям веб-серверов.

    Эксплуатация данной бреши становится возможной благодаря ошибке, допускаемой платформой JavaServer Faces при использовании алгоритмов шифрования AES/DES. Утилита пользуется тем, что на многих сайтах применяется одно лишь шифрование, а не связка шифрования, аутентификации и проверки целостности данных.

    Приложение было протестировано на серверах Apache и Sun Mojarra, работающих в паре с JavaServer Faces. Однако, исследователи полагают, что уязвимыми могут оказаться и многие другие платформы. Poet работает под управлением Windows, Mac OS X и Linux. Загрузить программу можно http://netifera.com/research/

    http://netifera.com/research/poet/Bl...-Oracle-wp.pdf
    http://club-symantec.ru/forum.php

  2. Реклама
     

Похожие темы

  1. Данные о сотрудниках Nissan подверглись компрометации
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 24.04.2012, 09:40
  2. Продукт Skype для Android создает риск компрометации данных
    От CyberWriter в разделе Новости программного обеспечения
    Ответов: 0
    Последнее сообщение: 16.04.2011, 08:40
  3. Amazon устранила угрозу компрометации аккаунтов на своем сайте
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 22.04.2010, 10:24
  4. WD и Seagate выпустили внешние накопители с поддержкой USB 3.0
    От SDA в разделе Новости аппаратного обеспечения
    Ответов: 0
    Последнее сообщение: 07.01.2010, 15:31
  5. Россияне выпустили клоны компьютеров Mac
    От SDA в разделе Новости аппаратного обеспечения
    Ответов: 7
    Последнее сообщение: 23.05.2009, 15:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01226 seconds with 18 queries