2010/09/15 ASP.NETの暗号データはパディング・オラクル攻撃で盗聴可能 ASP.NETでデータの暗号化に欠陥があるため、cookieやセッションデータをクラックできると、今週アルゼンチンで開催されるEkopartyセキュリティ会議で、Juliano RizzoとThai Duongが発表するとのこと。一般的にAESではCBC (Cipher Block Chaining) モードが使われるが、パディング・オラクル (Padding Oracle) 攻撃の脆弱性があるため、鍵が無くても暗号データを盗聴できるそうだ。Rizzo氏らは "Padding Oracle Exploitation Tool (POET)" [the h]を使って、広く使われているJSFフレームワークをエクスプロイトするデモを行った。詳しい内容は、threatpostに記述されている。 投稿者 zubor