Monday, June 14, 2010

Hội thảo An ninh Web 17/06

Chào mọi người, ngày 17 tháng 06, chi hội VNISA phía Nam phối hợp cùng nhóm OWASP Việt Nam sẽ tổ chức hội thảo An ninh ứng dụng web.

Địa điểm: Khách sạn Palace, 56-66 Nguyễn Huệ, quận 1, TPHCM
Thời gian: 08:30 đến 11:30
Chương trình:

1. OWASP Top Ten 2010, do Nguyễn Thành Nam, Blue Moon Consulting, trình bày

2. Tấn công mật mã thực dụng, do tôi trình bày. Tôi sẽ nói lại đề tài mà tôi đã trình bày ở Black Hat EU

3. Quy trình kiểm tra lỗi trong ứng dụng web, do Phạm Kiên Cường, Athena, trình bày

4. Thảo luận

Vào cửa tự do, không cần thư mời. Xin mời mọi người tham gia.

---------

Hi all,

On June 17, the VNISA Southern Branch and OWASP Vietnam is organizing a conference on Web Application Security. Details follow:

Venue: Palace Hotel, 56-66 Nguyen Hue, District 1, HCMC
Time: 08:30 to 11:30
Program:

1. OWASP Top Ten 2010, by Nguyen Thanh Nam, Blue Moon Consulting

2. Practical Crypto Attack, by yours truly

3. Testing Web Application, by Pham Kien Cuong, Athena

4. Panel Discussion

Please join us!

Monday, June 7, 2010

Practical Padding Oracle Attacks


Như đã có chia sẻ trên blog này, tháng 4 vừa rồi
Juliano và tôi được chọn để trình bày tại hội thảo Black Hat Europe 2010. Đề tài mà chúng tôi trình bày là biến một kỹ thuật tấn công mật mã rất mạnh mẽ thành một bộ kỹ thuật tấn công web rất nguy hiểm.

Đề tài này cùng chủ đề với nghiên cứu về
MD5 extension attack của chúng tôi, nhưng lần này mức độ ảnh hưởng lớn hơn rất nhiều. Chúng tôi ước tính có khoảng vài chục ngàn đến vài trăm ngàn web site có thể bị tấn công bằng những kỹ thuật mà chúng tôi đã trình bày.

Chúng tôi vừa làm xong POET a.k.a Practical Padding Oracle Attack, các bạn có thể download POET cũng như bài báo và slide trình bày ở đây. Chúng tôi có một báo cáo tốt hơn, nhưng đang còn chờ peer review nên chắc phải sau tháng 8 mới công bố được.

Ngoài ra hai video dưới đây cũng thể hiện rất rõ sức mạnh của POET và padding oracle attack:







Tờ TheRegister cũng mới đưa tin:

Researchers release point-and-click website exploitation tool

'Tons' of vulnerable sites

Released Monday, Poet exploits a well-known vulnerability in the way many websites encrypt text stored in cookies, hidden HTML fields and request parameters. The text is designed to help servers keep track of purchases, user preferences and other settings while at the same time ensuring account credentials and other sensitive data can't be intercepted. By modifying the encrypted information and sending it back to the server, the attackers can recover the plaintext for small chunks of the data, allowing them to access passwords and restricted parts of a webserver.

The fatal flaw making exploitation possible is the failure of JavaServer Faces to implement AES/DES encryption algorithms correctly. The scheme provides no way to sign the ciphertext or authenticate the block cipher mode.

“The tool exploits a very common mistake -- using encryption alone instead of encryption + authentication/integrity protection," Rizzo told The Register. "You can get information about the plaintext from the server reaction.”
Tom của Matasano bình luận rất tếu:
CBC padding oracles: the official "Attack That Looks In Real Life Most Like When Someone Breaks Decryption In A Movie".
Mà hắn nói chính xác. Vaudenay thiệt là vĩ đại.