Исследователи выпустили автоматизированную утилиту для компрометации сайтов

На этой неделе исследователи Джулиано Риццо и Тай Донг выпустили анонсированную в феврале утилиту Padding Oracle Exploitation Tool (Poet) , которая позволяет получать персональную информацию и выполнять произвольный код на тысячах веб-сайтов. Для этого Poet использует уязвимость в популярной платформе разработки JavaServer Faces.

Программа Poet способна расшифровывать закодированные данные без знания секретного ключа. Она позволяет хакерам обходить CAPTCHA, получать доступ к личной информации, хранимой на порталах банков, онлайн-магазинов и других компаний. В некоторых случаях утилиту можно использовать для запуска на серверах вредоносного кода.

Poet эксплуатирует хорошо известную уязвимость при шифровании текста, хранимого в cookie, скрытых полях HTML и параметрах запросов. Модифицируя зашифрованную информацию и отправляя ее обратно на сервер, злоумышленники имеют возможность восстанавливать небольшие фрагменты зашифрованных данных, получая таким образом доступ к паролям и закрытым директориям веб-серверов.

Эксплуатация данной бреши становится возможной благодаря ошибке, допускаемой платформой JavaServer Faces при использовании алгоритмов шифрования AES/DES. Утилита пользуется тем, что на многих сайтах применяется одно лишь шифрование, а не связка шифрования, аутентификации и проверки целостности данных.

Приложение было протестировано на серверах Apache и Sun Mojarra, работающих в паре с JavaServer Faces. Однако, исследователи полагают, что уязвимыми могут оказаться и многие другие платформы. Poet работает под управлением Windows, Mac OS X и Linux.

11 июня, 2010

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных