Hack expone la seguridad de la autenticación por formularios en ASP.NET
miércoles, 13 de marzo de 2024
2 comentarios
Dos investigadores de seguridad, tailandeses Duong y Juliano Rizzo, han descubierto un error en el mecanismo predeterminado de cifrado que se utiliza normalmente para proteger las cookies se generan al implementar la autenticación por formularios en el de ASP.NET. El uso de su herramienta (el Padding Oracle Exploit tool o POET), puede repetidamente modificar una cookie de autenticación de los formularios ASP.NET cifrados con AES y, mediante el examen de los errores devueltos, determinar la Machine Key utilizada para cifrar la cookie. El proceso se afirma que es 100 por ciento confiable y dura entre 30 y 50 minutos para cualquier sitio.
Leer más…
Categories: Seguridad .Net, 3DES, AES, Asp.Net, Autenticacion, Cifrado, Codificado, Cookies, Duong, ekoparty, Formularios, IIS7, Juliano Rizzo, Machine Key, Padding Oracle Exploit tool, POET, ViewState
