Latest topics
Thông báo " Khai Trương " Domain mới của lớp 508A =))
Tue Sep 07, 2010 10:10 pm by langtuhaohoa_1506nd
Vì tên domain của 4rum lớp mình quá dài lại khó nhớ nên mình đã đăng ký 1 domain mới cho lớp ( Domain free thôi đừng chém nhé ). Domain này vừa dễ nhớ, ngắn …
Comments: 2
Thời khóa biểu học kì I- năm hoc 2010-2011
Fri Jul 30, 2010 9:44 am by laphongvu
Sau một thời gian nghỉ hè không phải là dài nhưng cũng đủ để chúng ta thư giãn và chuẩn bị hành trang cho học kì mới.
Dưới đây là thời khóa biểu dự …
Dưới đây là thời khóa biểu dự …
Comments: 2
Thông báo về lịch nghỉ của môn Giao diện & thiết bị ngoại vi.
Tue Jun 29, 2010 4:25 pm by laphongvu
Thông báo tới toàn thể anh em 508A thân mến!
Hôm nay ngày 29/6 thầy Cương vừa thông báo cho mình một tin như sau.
Do thầy Cương được sự phân công đi công tác …
Hôm nay ngày 29/6 thầy Cương vừa thông báo cho mình một tin như sau.
Do thầy Cương được sự phân công đi công tác …
Comments: 3
Thông báo Lịch nghỉ học Kỳ hè dịp thi đại học
Tue Jun 08, 2010 11:12 pm by chunbon
Vào thời gian thi đại học đợt 1 từ ngày 03 - 05/7. Trường ĐH Phương Đông cho thuê địa điểm để thi Đại Học. Vì vậy thông báo Tất cả các lớp học kỳ …
Comments: 2
Truyện cười Vova
Thống Kê
Hiện có 1 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 1 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 24 người, vào ngày Thu Mar 02, 2023 2:13 pm
Công cụ bẻ khóa các session mã hóa dữ liệu - CAPTCHAS
Trang 1 trong tổng số 1 trang
Công cụ bẻ khóa các session mã hóa dữ liệu - CAPTCHAS
Gần đây, 2 nhà nghiên cứu đã cho ra đời công cụ có thể dùng để bẻ khóa dữ liệu đã được mã hóa qua hệ thống web server được chứa trong cookies và các ký tự ẩn trong trang HTML. Cách thức này được sử dụng trong công cụ Padding Oracle Exploitation Tool (Poet) của Juliano Rizzo và Thai Duong, đồng thời cũng được dùng để crack CAPTCHAS.
Poet được sử dụng trong Padding Oracle AttackPDF, lần đầu được phát hiện năm 2002, chuyên sử dụng để giải mã chế độ Cypher Block Chaining (CBC) mà không cần đến key. Các ứng dụng web như trên sử dụng framework phổ biến JavaServer Faces (JSF) cũng dễ dàng bị khai thác theo cách này.
Cơ chế tấn công Padding Oracle Attack đã chỉ ra rằng thực tế các khối mã hóa riêng biệt phải đạt độ dài tối thiểu 8 hoặc 16 byte cho mỗi ký tự. Nhưng để đáp ứng được yêu cầu, những cơ chế này phải sử dụng thêm các byte bổ sung đối với các khối cuối cùng. Bên cạnh đó, có rất nhiều phương thức để thực hiện cơ chế bổ sung này, và 1 trong số đó sử dụng crack. Đây là thời điểm mà Padding Oracle – chương trình hoặc dịch vụ cần thiết được sử dụng để thông báo trạng thái để cho biết liệu việc bổ sung dung lượng trong các gói dữ liệu nhận được có được coi là hợp lệ hay không, và tiếp tục tham gia vào quá trình tổng thể. Đây chính xác là những gì mà framework JFS thể hiện.
Bằng cách thử tất cả các cách bổ sung và kết hợp khác có thể, cơ chế này hoàn toàn có thể giải mã ViewStates, vốn được nhúng sẵn trong trang HTML và dùng để lưu trữ thông tin lượng truy cập từ phía client nhanh chóng. Các bạn có thể xem video trình diễn quá trình này trên Youtube.
Các dữ liệu đã được giải mã đồng thời lưu trữ lượng thông tin bí mật mà khách ghé thăm website không được quyền truy cập. Cơ chế tấn công này được miêu tả đầy đủ và cặn kẽ tại đây.
Mặt khác, công nghệ này cũng được sử dụng để hóa mã các giải pháp khác, 1 trong số đó là mã hóa ký tự ảnh trong mẫu có sẵn – điển hình là CAPTCHAS. Để tránh việc lưu trữ những thông tin này, một số hệ thống server chuyển toàn bộ dữ liệu tới client rồi sau đó so sánh với tín hiệu trả về.
Mặc dù Poet chỉ có thể crack ViewStates, nhưng điều này cũng đủ để giúp các nhà phát triển kiểm tra và phát hiện lỗ hổng trên trang web của họ. Công cụ này có giao diện đồ họa GUI và hoạt động với Windows, Mac OS X và Linux.
Theo H-online
Poet được sử dụng trong Padding Oracle AttackPDF, lần đầu được phát hiện năm 2002, chuyên sử dụng để giải mã chế độ Cypher Block Chaining (CBC) mà không cần đến key. Các ứng dụng web như trên sử dụng framework phổ biến JavaServer Faces (JSF) cũng dễ dàng bị khai thác theo cách này.
Cơ chế tấn công Padding Oracle Attack đã chỉ ra rằng thực tế các khối mã hóa riêng biệt phải đạt độ dài tối thiểu 8 hoặc 16 byte cho mỗi ký tự. Nhưng để đáp ứng được yêu cầu, những cơ chế này phải sử dụng thêm các byte bổ sung đối với các khối cuối cùng. Bên cạnh đó, có rất nhiều phương thức để thực hiện cơ chế bổ sung này, và 1 trong số đó sử dụng crack. Đây là thời điểm mà Padding Oracle – chương trình hoặc dịch vụ cần thiết được sử dụng để thông báo trạng thái để cho biết liệu việc bổ sung dung lượng trong các gói dữ liệu nhận được có được coi là hợp lệ hay không, và tiếp tục tham gia vào quá trình tổng thể. Đây chính xác là những gì mà framework JFS thể hiện.
Bằng cách thử tất cả các cách bổ sung và kết hợp khác có thể, cơ chế này hoàn toàn có thể giải mã ViewStates, vốn được nhúng sẵn trong trang HTML và dùng để lưu trữ thông tin lượng truy cập từ phía client nhanh chóng. Các bạn có thể xem video trình diễn quá trình này trên Youtube.
Các dữ liệu đã được giải mã đồng thời lưu trữ lượng thông tin bí mật mà khách ghé thăm website không được quyền truy cập. Cơ chế tấn công này được miêu tả đầy đủ và cặn kẽ tại đây.
Mặt khác, công nghệ này cũng được sử dụng để hóa mã các giải pháp khác, 1 trong số đó là mã hóa ký tự ảnh trong mẫu có sẵn – điển hình là CAPTCHAS. Để tránh việc lưu trữ những thông tin này, một số hệ thống server chuyển toàn bộ dữ liệu tới client rồi sau đó so sánh với tín hiệu trả về.
Mặc dù Poet chỉ có thể crack ViewStates, nhưng điều này cũng đủ để giúp các nhà phát triển kiểm tra và phát hiện lỗ hổng trên trang web của họ. Công cụ này có giao diện đồ họa GUI và hoạt động với Windows, Mac OS X và Linux.
Theo H-online
jacob- Tổng số bài gửi : 18
Join date : 12/06/2010
Age : 34
Similar topics
» Tài liệu môn Java
» Tài liệu Hacker
» Tài liệu môn Trí tuệ nhân tạo.
» Tài liệu môn Bảo trì mạng
» Tài liệu môn Kĩ thuật lập trình.
» Tài liệu Hacker
» Tài liệu môn Trí tuệ nhân tạo.
» Tài liệu môn Bảo trì mạng
» Tài liệu môn Kĩ thuật lập trình.
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
|
|
Wed Feb 29, 2012 10:19 am by tuquynh
» Khai giảng lớp luyện thi N2 và N3 tại Trung tâm Nhật Ngữ Top Globis
Wed Feb 29, 2012 9:45 am by tuquynh
» vietpon mua sản phẩm chất lượng, giá tốt.
Tue Oct 04, 2011 4:14 pm by tuquynh
» Học tiếng Nhật - Top Globis
Tue Oct 04, 2011 3:59 pm by tuquynh
» Học tiếng Nhật - Top Globis
Wed Aug 31, 2011 10:28 am by tuquynh
» Điểm tổng kết kì 2 (2010-2011)
Thu Aug 18, 2011 12:30 am by laphongvu
» Tài liệu môn Bảo trì mạng
Fri Aug 12, 2011 12:57 pm by laphongvu
» Thời khóa biểu học kì I năm 2011
Tue Aug 09, 2011 11:10 pm by laphongvu
» Bài giảng môn thiết kế mạng WAN-LAN
Tue Jun 07, 2011 10:57 pm by laphongvu