Supponiamo che un servizio utilizzi AES per crittografare i cookie, nella forma
user=username+padding,tmstmp=timestamp
dove tmstmp
è il tempo di scadenza e +padding
è una serie di zeri per rendere la lunghezza totale un multiplo di 16 byte.
Se creano il loro cookie di amministrazione usando solo admin
come nome utente, come
user=admin000000,tmstmp=timestamp
È il loro modo immaginabile di prendere un cookie crittografato per un normale cookie, cioè
AES(user=joesixpack0000,tmstmp=timestamp)
e trasformalo in un cookie admin
, senza conoscere la chiave o la IV utilizzata nella crittografia?