На этой неделе исследователи Джулиано Риццо и Тай Донг выпустили анонсированную в феврале
утилиту Padding Oracle Exploitation Tool (Poet) , которая позволяет
получать персональную информацию и выполнять произвольный код на
тысячах веб-сайтов. Для этого Poet использует уязвимость в популярной
платформе разработки JavaServer Faces.
Программа Poet способна расшифровывать закодированные данные без
знания секретного ключа. Она позволяет хакерам обходить CAPTCHA,
получать доступ к личной информации, хранимой на порталах банков,
онлайн-магазинов и других компаний. В некоторых случаях утилиту можно
использовать для запуска на серверах вредоносного кода.
Poet эксплуатирует хорошо известную уязвимость при шифровании
текста, хранимого в cookie, скрытых полях HTML и параметрах запросов.
Модифицируя зашифрованную информацию и отправляя ее обратно на сервер,
злоумышленники имеют возможность восстанавливать небольшие фрагменты
зашифрованных данных, получая таким образом доступ к паролям и закрытым
директориям веб-серверов.
Эксплуатация данной бреши становится возможной благодаря ошибке,
допускаемой платформой JavaServer Faces при использовании алгоритмов
шифрования AES/DES. Утилита пользуется тем, что на многих сайтах
применяется одно лишь шифрование, а не связка шифрования,
аутентификации и проверки целостности данных.
Приложение было протестировано на серверах Apache и Sun Mojarra,
работающих в паре с JavaServer Faces. Однако, исследователи полагают,
что уязвимыми могут оказаться и многие другие платформы. Poet работает
под управлением Windows, Mac OS X и Linux. Загрузить программу можно
...
Читать дальше »