ابزاری جدید برای حمله به سرور سایت ها

[Fahim 9563]

 

ایتنا - دو پژوهشگر به نام‌های Juliano Rizzo و Thai Duong نرم افزاری منتشر کرده‌اند که به شیوه‌ای خاص، اطلاعات شخصی افراد را در اینترنت فاش کرده و با بهره‌گیری از یک ضعف موجود در فناوری توسعه وب، می‌توانند کدهای مخرب مورد نظر را بر سرور سایت‌ها اجرا نماید.

 

 

 

 

 

این ابزار Padding Oracle Exploitation Tool نام دارد و به اختصار Poet خوانده می‌شود.

 

بنا به گزارش مشورت از Register، با استفاده از این شیوه می‌توان داده‌های مخفی را که توسط فناوری JavaServer Faces رمزنگاری شده، رمزگشایی کرد.

 

جالب اینجاست که در این فرآیند، به داشتن کلید مربوط به رمزنگاری اصلاً نیاز نیست.

 

Rizzo گفت این نرم‌افزار از یک خطای بسیار رایج استفاده می‌کند: استفاده از رمزنگاری به تنهایی، به جای رمزنگاری + محافظت کامل تصدیق هویت.

 

در ادامه این گزارش آمده است که هکرها می‌توانند از گوگل برای یافتن سایت‌هایی که در برابر این نوع حمله آسیب‌پذیر هستند استفاده نمایند.

 

بنا به گفته محققان، گوگل کردن عباراتی همچون Given final block not properly padded و یا javax.crypto.BadPaddingException هزاران جواب برمی‌گرداند.

 

Poet بر ویندوز، مکینتاش و لینوکس اجرا می‌شود.

 

 

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام