Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/9/2010
ASP.NET, der bruges til udvikling af web-applikationer, har en sårbarhed, som lader angribere få adgang til krypteret information.Sårbarheden ligger i den måde, som ASP.NET behandler krypterede sessions-cookies på. Det vil fx kunne bruges til at overtage en brugers netbank-session. Millioner af web-applikationer udviklet med ASP.NET har sårbarheden, skriver Dennis Fisher fra sikkerhedsfirmaet Kaspersky.
Han oplyser, at svagheden ligger i implementeringen af AES (Advanced Encryption Standard), og specielt i de fejlmeddelelser, systemet kommer med.
Sårbarheden er opdaget af sikkerhedsforskerne Juliano Rizzo og Thai Duong, der har benyttet værktøjet POET (Padding Oracle Exploit Tool) til at finde den. De oplyser, at angrebet altid vil virke, men at det er forskelligt, hvor lang tid det tager. I gennemsnit tager et angreb en halv time.
Anbefaling
Udviklere af ASP.NET-applikationer kan overveje at anvende en anden krypteringsmetode end AES.