Una web de hack que puede poner en peligro a las transacciones bancarias en línea está clasificada como la N º 1 Web nueva técnica de hacking para el año 2010 en una lista de los 10 seleccionados por un panel de expertos y votación abierta.
Llamado el relleno de Oracle Crypto ataque, el truco se aprovecha de cómo Microsoft 's framework web ASP.NET protege el cifrado AES de cookies.
DESDE EL MUNDO DE SEGURIDAD: momentos extravagantes en Negro Hat DC 2011
Si el cifrado de datos en la cookie se ha cambiado, la forma en que maneja los resultados de ASP.NET en la aplicación de algunas fugas de información acerca de cómo descifrar el tráfico. Con bastante repetidos cambios y se filtró la información, el hacker puede deducir que es posible bytes puede ser eliminado de la clave de cifrado. Esto reduce el número de bytes desconocidos a un pequeño número suficiente como para ser adivinado.
Los desarrolladores del hack - Juliano Rizzo y Duong Tailandia - han desarrollado una herramienta para ejecutar el hack.
Relleno de Oracle fue votado N º 1 por un proceso de votación que incluyó a Ed Skoudis, fundador de InGuardians; Girogio Maone, el autor de NoScript; Armorize CEO Caleb Sima; Veracode CTO Chris Wysopal, Presidente y CEO de OWASP Jeff Williams, consultor de seguridad Charlie Miller, de Independent Security Evaluators, director de pruebas de penetración de IOActive Dan Kaminsky, Steven Christey de Mitre, y sombrero blanco vicepresidente de seguridad de las operaciones de Arian Evans.
El ranking fue patrocinado por Sombrero Negro, OWASP y sombrero blanco de Seguridad, y los detalles de los hacks serán objeto de una presentación en el IT-2011 de Defensa de conferencias el próximo mes en Alemania.
Aquí está el resto de los 10 "hacks" Web votado en el concurso:
2. Evercookie - Esto permite que un script de Java para crear cookies que se esconden en ocho lugares diferentes dentro de un navegador, lo que hace difícil para fregar ellos.Evercookie permite al hacker para identificar la máquina, incluso si las cookies tradicionales han sido eliminadas. (Creado por Kamkar Samy.)
3. Hacking Autocompletar - Si la función en algunos navegadores que rellenar automáticamente formularios en sitios web (Autocompletar) está encendido, secuencia de comandos en un sitio web malicioso puede forzar al navegador a rellenar los datos personales tocando diversos datos almacenados en el ordenador víctima. (Creado por Jeremiah Grossman.)
4. Atacar HTTPS con caché de inyección - Inyección de bibliotecas de scripts maliciosos en Java en una memoria caché del navegador permite a los atacantes para comprometer los sitios Web protegidos por SSL. Esto funcionará hasta que el caché está desactivada. Casi la mitad de 1 por millón de sitios web de uso externo bibliotecas de scripts de Java. (Con embalaje por Bursztein Elie, Gourdin Baptiste y Boneh Dan.)
5. Anulación de la protección CSRF con ClickJacking y HTTP parámetros contaminación - Obtiene todo entre sitios defensas falsificación de petición y las víctimas de trucos para que revelen su correo-e identificaciones. El uso de estos, los atacantes pueden restablecer las contraseñas de la víctima y tener acceso a sus cuentas. (Creado por Kuppan Lavakumar.)
6. XSS universal en IE8 - Internet Explorer 8 tiene protecciones-site scripting cruz que esta hazaña puede eludir y permite que las páginas Web que pasarán a ser mal en una forma potencialmente maliciosos.7. HTTP POST DoS - HTTP POST cabeceras se envían a los servidores para hacerles saber la cantidad de datos está siendo enviado, a continuación, los datos se envían muy despacio, comer de servidores 'recursos. Cuando muchos de estos son enviados al mismo tiempo, los servidores están desbordados. (Creado por Wong Chee Onn y Tom Brennan.)
8. JavaSnoop - Un agente de Java conectados a la máquina de destino se comunica con la herramienta JavaSnoop para probar las aplicaciones en la máquina de debilidades de seguridad. Esto podría ser una herramienta de seguridad o una herramienta de hacking , dependiendo de la mentalidad del usuario. (Creado por Dabirsiagh Arshan.)
9. Historia Hack CSS en Firefox sin JavaScript para Intranet de escaneo de puertos - hojas de estilo en cascada, que se utiliza para definir la presentación de HTML, se puede utilizar paratomar historias navegador como víctimas visite los sitios Web. La información de la historia puede ser usado para fijar la víctima para ataques de phishing. (Creado por Robert "RSnake" Hansen.)
10. Applet de Java DNS Revinculación - Un par de applets de Java dirigir un navegador a un par de sitios Web controlados atacante, obligando al explorador para que omita su caché de DNS y así lo hacen susceptible a un ataque de NDS reconsolidación . (Creado por Stefano Di Paola.)
Fuente: Clic Aquí
Por favor Clik en la Fuente para ayudarnos
1 comentarios:
El relleno de Oracle Crypto ataque no debe ser una preocupación por más tiempo ya que ese problema ha sido parcheada desde finales de septiembre .... y todos sabemos que mantenerse al día con los parches es importante
Publicar un comentario