Lo stato di visualizzazione crittografato è vulnerabile?

4

Durante la lettura dello stato di visualizzazione come possibile mezzo per prevenire CSRF, mi sono imbattuto in questo Microsoft Bollettino sulla sicurezza che afferma:

An attacker who successfully exploited this vulnerability could read data, such as the view state, which was encrypted by the server.

Avevo sempre sentito che lo stato di visualizzazione crittografato era sicuro. Qualcuno ha qualche dettaglio su come funziona questo exploit? Ho fatto qualche ricerca su google, ma non ho trovato alcun dettaglio.

    
posta Abe Miessler 29.07.2013 - 19:37
fonte

1 risposta

5

Questa è la famigerata vulnerabilità di Padding Oracle, questo è il documento originale che descrive la vulnerabilità in dettaglio.

L'utilizzo dello stato correlato allo sfruttamento dipenderebbe strongmente dalla logica dell'applicazione reale. Se le informazioni di stato sono correttamente crittografate e l'integrità controllata, l'applicazione (sviluppatore) può presumere che i dati inclusi siano affidabili (ad esempio, la convalida dell'input è già stata eseguita o i dati provengono dal server e non dal client). Senza un'adeguata difesa approfondita, questo può causare una situazione simile a un conflitto TOC-TOU che genera una sicurezza vulnerabilità.

Esempio: PadBuster sfrutta il fatto che i gestori di WebResource / ScriptResource presumono che il loro parametro possa essere impostato correttamente dal server e non ha controllato l'attraversamento del percorso.

    
risposta data 29.07.2013 - 20:18
fonte

Leggi altre domande sui tag