Poet: wyklikaj sobie exploita dla witryn w Javie

Narzędzie o wdzięcznej nazwie Poet – akronim od „Padding Oracle Exploitation Tool” zyska zapewne popularność wśród osób zajmujących mniej lub bardziej bezpośrednio bezpieczeństwem witryn WWW. Pozwala na odszyfrowywanie danych przesyłanych przez aplikacje stworzone na bazie frameworka JavaServer Faces, popularnego w świecie biznesu, bankowości i e-commerce, a w niektórych wypadkach nawet na uruchamianie złośliwego oprogramowania na serwerze.

Poet jest efektem pracy badaczy Juliano Rizzo i Thai Duonga. W lutym br. opublikowali oni artykuł (plik PDF, 744 KB) poświęcony technice uzyskania dostępu do prywatnych danych klientów w serwisach zbudowanych na Faces. Wykorzystuje ona błędy w implementacji algorytmów AES/DES i podatność systemów przechowywania zaszyfrowanego tekstu, przechowywanego w ciasteczka, ukrytych polach formularzy HTML i parametrach żądań.

Tekst taki jest wykorzystywany głównie do przechowywania preferencji użytkownika, czy danych o transakcjach – i powinien zapewniać odpowiednią ochronę danych internautów. Jednak przygotowane przez badaczy ataki pozwalają na zmodyfikowanie zaszyfrowanej informacji i odesłanie jej z powrotem do serwera, tak że dla niewielkich fragmentów danych udaje się odzyskać tekst w jawnej postaci, ujawniając hasła i inne poufne dane.

Rizzo wyjaśnił, że Poet exploituje bardzo popularny błąd, czyli ufanie samemu szyfrowaniu, podczas gdy powinno się stosować jednocześnie szyfrowanie i ochronę procesu uwierzytelnienia. Dzięki temu można uzyskać informacje o jawnej postaci tekstu z reakcji serwera.

Atak polega na przeszukaniu zaatakowanej witryny pod kątem zaszyfrowanych ciągów i zmodyfikowaniu ostatniego bloku ich szyfrowanej postaci, a następnie odesłaniu całości do serwera. Uzyskane w odpowiedzi komunikaty o błędzie są używane do odszyfrowania tekstu, co finalnie pozwala napastnikowi na przekazywanie dowolnych danych do serwera, włącznie ze złośliwym kodem. Technika ta umożliwia złamanie całego kryptosystemu witryny – odwzorowanie wszystkich zaszyfrowanych ciągów na ich jawne formy. Więcej można dowiedzieć się z tego filmu, pokazującego atak na implementację Apache frameworka MyFaces.

Witryny podatne na ten atak można znaleźć dzięki Google – wystarczy poszukiwać fraz takich jak javax.crypto .BadPaddingException czy Given final block not properly padded. Na atak podatna jest większość javowych serwerów, w tym produkty Apache'a i Suna.

Poet w wersji dla Linuksa, Mac OS X-a i Windows dostępny jest na stronie netifera.com/research/.

Źródło: TheRegister.co.uk

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

1 skomentuj »

Komentarze

#1 sfrustrowany programista 2010-06-18 11:50:39 0
Hahaha, tylko kto normalny w wersji produkcyjne aplikacji ujawnia użytkownikowi wyjątki, które wystąpiły. Takie wyjątki się loguje do pliku/bazy/EventLoga czy gdzieś indziej, a użytkownik dostaje komunikat w stylu: "Wystąpił problem podczas działania aplikacji. Prosimy spróbować za chwilę".
IP: 83.23.73.[...] Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; FDM; InfoPath.3)

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.