Hacking Etico 2024 ITA - eJPT | eWPT | eCPPT -#51 Attacco Padding Oracle

  Рет қаралды 3

Roby7979

Roby7979

Күн бұрын

#penetrationtest #ITSecurity #kaliLinux #parrotSecurity #pythonOffensive #hacker #owasp
Questo tipo di attacco si basa sulla possibilità di modificare i dati crittografati e testare il risultato con Oracle. L’unico modo per mitigare completamente l’attacco è rilevare le modifiche ai dati crittografati e rifiutarsi di intervenire su di essi. Il modo standard per farlo è creare una firma per i dati e convalidarla prima di eseguire qualsiasi operazione. La firma deve essere verificabile e l'attaccante non deve essere in grado di crearla; Altrimenti, potrebbe modificare i dati crittografati e calcolare una nuova firma basata sui dati modificati.
Un tipo comune di firma adatta è noto come “codice di autenticazione del messaggio hash con chiave” (HMAC). Un HMAC differisce da un checksum in quanto richiede una chiave segreta, nota solo alla persona che genera l'HMAC e alla persona che lo convalida. Se non si dispone di questa chiave, non è possibile generare un HMAC corretto. Quando ricevi i dati, puoi prendere i dati crittografati, calcolare in modo indipendente l'HMAC utilizzando la chiave segreta condivisa sia da te che dal mittente, quindi confrontare l'HMAC inviato dal mittente con quello che hai calcolato. Questo confronto deve essere costante nel tempo; Altrimenti, hai aggiunto un altro oracolo rilevabile, consentendo così un diverso tipo di attacco.
In sintesi, per utilizzare in modo sicuro i codici a blocchi CBC imbottiti, è necessario combinarli con un HMAC (o altro controllo dell'integrità dei dati) convalidato da un confronto temporale costante prima di tentare di decrittografare i dati. Poiché tutti i messaggi modificati impiegano lo stesso tempo per generare una risposta, l'attacco viene impedito.
L' Attacco Padding Oraclepuò sembrare un po' complesso da comprendere in quanto implica un processo di feedback per indovinare il contenuto crittografato e modificare il riempimento. Tuttavia, esistono strumenti come PadBuster che possono automatizzare gran parte del processo.
PadBuster è uno strumento progettato per automatizzare il processo di decrittografia dei messaggi crittografati in modalità CBC che utilizzano il riempimento PKCS #7. Lo strumento consente agli attaccanti di inviare richieste HTTP con riempimento dannoso per determinare se il riempimento è valido o meno. In questo modo gli aggressori possono indovinare il contenuto crittografato e decrittografare l'intero messaggio.
Pentester Lab - Padding Oracle: www.vulnhub.co...
Corso Hacking Etico: • Corso Hacking Etico 20...
Corso Linux da zero: • 00 - Corso Linux da ze...
Corso Python Offensive: • #00 - Introduzione al ...
Hacking Macchine TryHackMe: • TryHackMe ITA | Machin...
Hacking Macchine HackTheBox: • HackTheBox ITA | Prati...
Hacking Tutorial Vari: • Wireshark ITA - 01 Pri...
GitHub github.com/rob...
Discord OffSec Italia: / discord
Twitter / modernnaval
TryHackMe Italia / 606428807774402
Offensive Security Italia / 1279369172893764
Twitch Roby7979: / roby7979
KZbin: / @hacknow2025

Пікірлер
Where People Go When They Want to Hack You
34:40
CyberNews
Рет қаралды 2,1 МЛН
2 MAGIC SECRETS @denismagicshow @roman_magic
00:32
MasomkaMagic
Рет қаралды 28 МЛН
HELP!!!
00:46
Natan por Aí
Рет қаралды 37 МЛН
amazing#devil #lilith #funny #shorts
00:15
Devil Lilith
Рет қаралды 15 МЛН
Hacking Etico eJPT - Come scannerizzare la rete
14:29
Roby7979
Рет қаралды 617
When you Accidentally Compromise every CPU on Earth
15:59
Daniel Boctor
Рет қаралды 871 М.
HACKING SIMULATOR  : Hackerare mail
13:39
Essere Informatico
Рет қаралды 824
COSMIC Alpha 2 is AMAZING
2:22:48
Titus Tech Talk
Рет қаралды 29 М.
Tutto quello che sappiamo sul sistema di Proxima Centauri
9:50
Amedeo Balbi
Рет қаралды 52 М.
How AI was Stolen
3:00:14
Then & Now
Рет қаралды 1 МЛН
Dr Joe Dispenza: You MUST Do This Before 10am To Fix It!
2:00:06
The Diary Of A CEO
Рет қаралды 10 МЛН
Máy báo động cho gia đình mãi đỉnh
0:31
SaboMall
Рет қаралды 16 МЛН