14.09.2010, 00:00 Uhr

ASP.NET-Schwachstelle wird auf Sicherheitskonferenz vorgeführt

Auf der Sicherheitskonferenz Ekoparty will Juliano Rizzo vorführen, wie Cookies, Passwörter und Anwenderdaten mithilfe seines Padding Oracle Exploit Tools entschlüsselt und ausgespäht werden können.
Das Padding Oracle Exploit Tool (POET) hat Juliano Rizzo zusammen mit Thai Duong entwickelt, um Sicherheitslücken im Framework JavaServer Faces auszunutzen. Auf der übermorgen stattfindenden Sicherheitskonferenz Ekoparty soll gezeigt werden, wie das modifizierte Tool auch Daten aus ASP.NET-Webanwendungen entschlüsseln und ausspähen kann.
Das Tool kann laut Juliano Rizzo jede ASP.NET-Webanwendung angreifen und entschlüsselt Cookies, View States, Authentication Tickets, Passwörter sowie alle anderen Daten, welche mit dem API des Frameworks verschlüsselt worden sind.
Je nach dem welche Komponenten von ASP.NET auf dem Server installiert seien, betreffe die Schwachstelle nur das Aufdecken von Informationen bis hin zum Kompromittieren des gesamten Systems. Weltweit, so Rizzo, nutzen 25 Prozent aller Websites das Framework ASP.NET. [bl]



Das könnte Sie auch interessieren