Gần đây, 2 nhà nghiên cứu đã cho ra đời công cụ có thể
dùng để bẻ khóa dữ liệu đã được mã hóa qua hệ thống web server được chứa
trong cookies và các ký tự ẩn trong trang HTML. Cách
thức này được sử dụng trong công cụ Padding Oracle Exploitation Tool
(Poet) của Juliano Rizzo và Thai Duong, đồng thời cũng được dùng để
crack CAPTCHAS.
Poet được sử dụng trong Padding Oracle AttackPDF, lần đầu được phát
hiện năm 2002, chuyên sử dụng để giải mã chế độ Cypher Block Chaining
(CBC) mà không cần đến key. Các ứng dụng web như trên sử dụng framework
phổ biến JavaServer Faces (JSF) cũng dễ dàng bị khai thác theo cách này.
Cơ chế tấn công Padding Oracle Attack đã chỉ ra rằng thực tế các khối
mã hóa riêng biệt phải đạt độ dài tối thiểu 8 hoặc 16 byte cho mỗi ký
tự. Nhưng để đáp ứng được yêu cầu, những cơ chế này phải sử dụng thêm
các byte bổ sung đối với các khối cuối cùng. Bên cạnh đó, có rất nhiều
phương thức để thực hiện cơ chế bổ sung này, và 1 trong số đó sử dụng
crack. Đây là thời điểm mà Padding Oracle – chương trình hoặc dịch vụ
cần thiết được sử dụng để thông báo trạng thái để cho biết liệu việc bổ
sung dung lượng trong các gói dữ liệu nhận được có được coi là hợp lệ
hay không, và tiếp tục tham gia vào quá trình tổng thể. Đây chính xác là
những gì mà framework JFS thể hiện.
Bằng cách thử tất cả các cách bổ sung và kết hợp khác có thể, cơ chế
này hoàn toàn có thể giải mã ViewStates, vốn được nhúng sẵn trong trang
HTML và dùng để lưu trữ thông tin lượng truy cập từ phía client nhanh
chóng. Các bạn có thể xem video trình diễn quá trình này trên Youtube.
Các dữ liệu đã được giải mã đồng thời lưu trữ lượng thông tin bí mật
mà khách ghé thăm website không được quyền truy cập. Cơ chế tấn công này
được miêu tả đầy đủ và cặn kẽ
tại
đây.
Mặt khác, công nghệ này cũng được sử dụng để hóa mã các giải pháp
khác, 1 trong số đó là mã hóa ký tự ảnh trong mẫu có sẵn – điển hình là
CAPTCHAS. Để tránh
việc lưu trữ những thông tin này, một số hệ thống server chuyển toàn bộ
dữ liệu tới client rồi sau đó so sánh với tín hiệu trả về.
Mặc dù Poet chỉ có thể crack ViewStates, nhưng điều này cũng đủ để
giúp các nhà phát triển kiểm tra và phát hiện lỗ hổng trên trang web của
họ. Công cụ này có giao diện đồ họa GUI và hoạt động với Windows, Mac
OS X và Linux.