Aplicaciones web desarrolladas bajo ASP.NET vulnerables a cripto ataques

Post date: Sep 17, 2010 1:17:09 PM

Las aplicaciones web desarrolladas con ASP.NET podrían enfrentar próximamente una ola de ataques que explotan una vulnerabilidad conocida y no corregida de AES (Advanced Encryption Standard). El anuncio fue realizado por investigadores que esperan que este anuncio acelere la corrección de un problema ya conocido y todavía no resuelto.

El ataque, del tipo "padding oracle" (oráculo por relleno), consiste en proveer a la aplicación datos con errores de encriptamiento de manera que se produzca un error al tratar de procesarlos y que ese error sea mostrado a los usuarios. La información provista por AES permite obtener información sobre como se realiza el encriptamiento y, mientras más errores se generan, más información será revelada.

Este tipo de ataque ya es conocido desde 2002, y se ha demostrado efectivo en otros ambientes.

Enlaces relacionados

• ASP.Net Web apps face risk of widespread crypto attack, September 13, 2010

Cursos relacionados

• Curso Seguridad en Redes