La Comunidad DragonJAR » ASP.NET

Vídeo de la Charla – Padding Oracles Everywhere en la EKOParty 2010

DragoN — Thu, 30 Sep 2010 17:27:43 +0000

Una de las charlas que mas causaba expectativas en la EKO Party, era la del Vietnamita Thai Duong y el argentino Juliano Rizzo titulada “Padding Oracles Everywhere”, ya que no solo nos enseñarían como funciona este ataque, sino que nos mostrarían un nuevo fallo de seguridad que afectaria por lo menos a un 25% de los sitios web activos en la red.

Todo lo que esperábamos de estos 2 personajes se cumplió, no solo nos explicaron claramente el funcionamiento de los ataques “Padding Oracle”, sino que nos mostraron como utilizaron este ataque para descubrir un fallo en el Frameork de ASP.NET y hasta hicieron llover 0days en la EKO.

Afortunadamente para quienes no asistieron a la EKO, sus organizadores han publicado en la cuenta oficial del evento, el vídeo de esta excelente charla, para que todos puedan disfrutar de ella y en La Comunidad DragonJAR, lo compartimos con todos ustedes.

video/15454510" width="550" height=332" frameborder="0">

Alguna información adicional sobre el fallo y como mitigarlo:

También puede interesarte...

Lluvia de 0days en la EKOParty

DragoN — Sun, 19 Sep 2010 04:52:22 +0000

Una de las charlas mas esperadas en la EKOParty 2010 fue la del argentino Juliano Rizzo y el vietnamita Thai Duong, titulada “Padding Oracles Everywhere” donde estos dos personajes, nos mostraban un nuevo fallo no publico que afectaría el 25% de los sitios en la red.

Empieza Juliano Rizzo explicándonos de que se tratan los ataques de tipo “Oracle” (oráculo), los conceptos criptográficos de la vulnerabilidad, nos enseño la herramienta POET, que automáticamente puede encontrar y explotar las vulnerabilidades de tipo Oracle y los algoritmos que implementaron en ella.

Vídeo de POET contra Apache MyFaces

Pueden descargar la herramienta para Windows, GNU Linux y Mac OS X, del apartado de investigacion en Netifera.com.

Después de hablarnos sobre POET y los ataques Oracle, empiezan la introducción al 0Day que encontraron en ASP.NET, básicamente el problema radica en que la API de cifrado de ASP.NET que no autentica los mensajes, por lo que usando ataques de tipo Oracle se puede descifrar las cookies, ver estados, obtener tickets en formularios de autenticación, claves de suscripción, datos del usuario, y cualquier otra cosa cifrada usando la API del framework!.

Vídeo de la demo, lanzado contra dotnetnuke, uno de los proyectos en web mas populares que usan este framework de Microsoft .

Después de mostrar el demo y con toda la atención de la audiencia, a Thai se le ocurrió la “brillante” idea de tirar al aire 3 copias del exploit entre los asistentes a la charla (razón del titulo de este post), algo nunca antes visto y que quedó plasmado en el siguiente vídeo grabado por Francisco Amato.

Afortunadamente para quienes tienen desarrollos con el framework de Microsoft, las copias tiradas al aire con el exploit de esta vulnerabilidad, fue cifrado antes como “desafió” y hasta el momento no hay indicios que alguno de sus poseedores lograra romper esta barrera para poder acceder a el.

Alguna información adicional sobre el fallo y como mitigarlo:

También puede interesarte...

Video Tutoriales Seguridad en ASP.NET

DragoN — Mon, 10 Dec 2007 05:49:48 +0000

Gracias a Alex de Buyacorp me encuentro con una serie de vídeos (en ingles) donde Keith Brown explica los mecanismos ocultos en algunas entradas comunes y validaciones de datos en ASP.NET:

Canonicalization: Explica sobre los ACLs e impersonación de usuarios para acceder a recursos, así como usar Server.MapPath para limitar el acceso sólo a rutas que estén dentro del directorio virtual de una aplicación.
Cookies: Muestra como detectar la alteración de cookies.
Cross-Site Scripting: Explica que es XSS y como prevenir éstos ataques.
Regular Expressions: Explica el uso de expresiones regulares para la validación de los datos.
SQL Injection: Explica que es SQL Injection y cómo evitar este tipo de ataques usando consultas parametrizadas.
Validation Controls