在由一個專家小組公開投票選出的2010年網絡***技術名單中,在線網上銀行交易威脅成爲***技術中的年度頭號殺手。該技術被稱之爲Padding Oracle加密技術,***則是利用了微軟的網絡架構ASP.NET保護AES加密cookie的原理。
如果在cookie中的加密數據已經被改變,那麼ASP.NET處理它的方式就會導致應用程序留下一些關於解密信息的蛛絲馬跡。這樣一來,***們就可以推斷出從加密密鑰中被淘汰出來的可能的字節,從而減少了未知字節,讓解密範圍縮小到足夠可以被猜測出來。
***的開發商——Juliano Rizzo和Thai Duong已經開發了一種執行該襲擊的***工具。
Padding Oracle在投票過程中被評爲第一。參與該投票的評審團成員包括InGuardians的創始人Ed Skoudis,NoScript的作者Girogio Maone ,Armorize的總裁Celeb Sima,Veracode的首席技術官Chris Wysopal,OWASP的董事長兼總裁Jeff Williams,獨立安全評估公司的安全顧問Charlie Miller,Mitre的Steven Christey和White Hat Security副總裁Arian Evans。
該排名由Black Hat、OWASP和White Hat Security聯合發起,有關***的細節將在下個月於德國舉行的2011年IT安全主題展示大會上逐一透露。
以下列出位於前十位的其它Web***技術:
1. Padding Oracle:如果輸入的密文不合法,類庫則會拋出異常,這便是一種提示。***者可以不斷地提供密文,讓解密程序給出提示,不斷修正,最終得到的所需要的結果。
2. Evercookie:它能夠讓Jave腳本創建的cookie隱藏在瀏覽器的八個不同的位置,因此很難徹底消除它們。Evercookie可以讓***識別出用戶的電腦,即便之前的cookie已經被刪除。(由Samy Kamkar設計)。
3. Hacking Autocomplete:指定瀏覽器自動在被打開的網站上填寫表格,惡意網站上的腳本就可以通過點擊查詢儲存在受害者電腦裏的不同數據迫使瀏覽器填寫他的個人數據。(由Jeremiah Grossman設計)。
4. 用緩存注射來***HTTP:將惡意的Jave腳本庫注射進瀏覽器的緩存可以讓***者破壞受SSL保護的網址,直到緩存被清除爲止。在前一百萬個最常用的網站中有將近一半使用外部Java腳本庫。(由Elie Bursztein、Baptiste Gourdin和Dan Boneh設計)。
5. 使用ClickJacking和HTTP Parameter Pollution繞過CSRF的保護:通過網站請求僞造的防護措施,誘導受害者泄露他們的電子郵件ID。***者可以重置受害者的密碼並獲取訪問他們賬戶的權限。(由Lavakumar Kuppan設計)。
6. IE8中的通用XSS:Explorer 8擁有跨點腳本保護,這種***方式會讓網頁以一種潛在的惡意方式不正當地彈出。
7. HTTP POST DoS:HTTP POST將會被髮送到服務器上,讓***者知道有多少數據正在被傳輸,然後數據傳送速度會變得非常緩慢,並且會佔用大量服務器資源。當很多這樣的數據進行同時傳輸的時候,服務器就會超載。(由Wong Onn和Tom Brennan設計)。
8. JavaSnoop:一個連接到目標機器的Java代理與JavaSnoop工具連接來測試該機器上的應用程序以便尋找其安全弱點。它可以是一個安全工具也可以成爲***工具,取決於用戶的心態。(由Arshan Dabirsiagh設計)。
9. 火狐的CSS歷史***,不爲內部網端口掃描使用JavaScript:層疊樣式往往是爲了定義HTML的演示,在受害者瀏覽網站的時候它可以被用來抓取瀏覽器的歷史記錄。而歷史信息可以用來對受害者進行釣魚***。(由Robert "Rsnake" Hansen設計)。
10. Java小程序DNS重新綁定:一堆Java小程序可以引導瀏覽器至***者控制的頁面,強迫瀏覽器繞過它的DNS緩存,這樣就可以讓DNS重新綁定***變得輕而易舉了。(由Stefano Di Paola設計)。
【51CTO.com 獨家譯稿】