Embedded Files
Post date: Sep 17, 2010 1:17:09 PM
Las aplicaciones web desarrolladas con ASP.NET podrían enfrentar próximamente una ola de ataques que explotan una vulnerabilidad conocida y no corregida de AES (Advanced Encryption Standard). El anuncio fue realizado por investigadores que esperan que este anuncio acelere la corrección de un problema ya conocido y todavía no resuelto.
El ataque, del tipo "padding oracle" (oráculo por relleno), consiste en proveer a la aplicación datos con errores de encriptamiento de manera que se produzca un error al tratar de procesarlos y que ese error sea mostrado a los usuarios. La información provista por AES permite obtener información sobre como se realiza el encriptamiento y, mientras más errores se generan, más información será revelada.
Este tipo de ataque ya es conocido desde 2002, y se ha demostrado efectivo en otros ambientes.
Enlaces relacionados
ASP.Net Web apps face risk of widespread crypto attack, September 13, 2010
Cursos relacionados
Curso Seguridad en Redes
Google Sites
Report abuse