Zneužitie chybnej implementácie funkcie view state predvedú na Black Hat

Bezpečnostní experti laboratória SpiderLabs v spoločnosti Trustwave David Byrne a Rohini Sulatycki na konferencii Black Hat, ktorá sa v týchto dňoch koná vo Washingtone, budú prezentovať zneužitie chybne implementovanej funkcie view state. Ide o funkciu webových aplikácií, ktorá zaručuje aktualizáciu vzhľadu webovej stránky bez potreby jej kompletného opätovného načítania.

Prednáška odhalí, že technológie Apache MyFaces a Sun Mojarra umožnia útočníkovi získať dáta relácie (session data) uložené na serveri počas používateľovej aktivity. Technológia spoločnosti Microsoft ASP.NET obsahuje o niečo menšiu zraniteľnosť, ktorá môže byť zneužitá na útoky XSS. Experti takisto uvoľnia nástroj, ktorý dokáže otestovať webové aplikácie na prítomnosť danej zraniteľnosti, a ozrejmia aj spôsob, ako podobným útokom zabrániť.

Útočník sa využitím zraniteľnosti môže dostať napríklad k prihlasovacím údajom, ktoré sú dočasne uložené na serveri počas trvania relácie (session). Výskumníci tvrdia, že ide o dosť zložitú záležitosť, a hoci vývojári majú od výrobcov konkrétnych frameworkov postupy, ako technológiu používať, mnohí sa týchto odporúčaní nedržia, keďže zatiaľ neboli známe konkrétne prípady zneužitia technológií týmto spôsobom. Najlepšia ochrana proti daným útokom je šifrovanie, aby dáta view state nemohli byť čítané alebo modifikované. Tí vývojári, ktorí sa odporúčaniami výrobcov riadili, by mali mať svoje webové aplikácie odolné proti novo objaveným útokom.

Zdroj: www.scmagazineuk.com