Računalni stručnjaci, Juliano Rizzo i Thai Duong, izradili su alat naziva Padding Oracle Exploit Tool (POET), kojim žele pokazati kako postoji način na koji je moguće probiti implementaciju AES kriptografskog standarda unutar Microsoft ASP.NET Web aplikacija korištenu za kriptiranje cookie-a. Naime, alat sam pretražuje nezaštićene cookie-e web sjedišta te iskorištava ovaj propust. Zlouporabom nedostatka, napadač može dekriptirati cookie posjećenog web sjedišta (cookie služi za pohranu podataka o web sesiji na lokalno računalo). Dekriptirani cookie može sadržavati povjerljive bankovne i osobne podatke. Stručnjak za računalnu sigurnost Alexander Meisel kaže kako napad funkcionira navođenjem korisnika na unošenje povjerljivih podataka unutar lažnog prozora koji se pojavljuje na web stranici prethodno kompromitiranog web poslužitelja. Unesene podatke napadač iskorištava za probijanje kriptografske zaštite. Cilj objave spomenutog alata je potaknuti sve one koji vode brigu o računalnoj sigurnosti, da ozbiljnije obrate pozornost na kriptografske nedostatke u softverskim sustavima.
$downloadlink = get_field('download_link'); ?>Novi način probijanja kriptiranih cookiea
Izvor: SearchSecurity