一个专家委员会公开投票评出2010年10大网络黑客技术。一个能够给在线银行交易造成威胁的网络黑客技术列为排在第一位的网络黑客技术。
这种名为“Padding Oracle Crypto Attack”的黑客技术利用微软的Web框架ASP.NET保护AES加密Cookie的方式实施攻击。
如果Cookie中的加密数据被修改,ASP.NET处理它的方式就会导致应用程序泄露有关流量加密方式的信息。通过反复改变和泄露信息,黑客就能够推断出能够在加密密钥中消除哪些字节。这就会把未知的字节数量减少到足够少的程度以便进行猜测。
这个破解技术的开发者Juliano Rizzo和Thai Duong已经开发出一个执行这个破解任务的工具。
"Padding Oracle Crypto Attack"通过投票被评为排名第一的黑客技术。参与投票的专家包括:InGuardians公司创始人Ed Skoudis;NoScript的作者Girogio Maone;Armorize首席执行官Caleb Sima;Veracode首席技术官Chris Wysopal;OWASP董事长兼首席执行官Jeff Williams;Independent Security eva luators公司安全顾问Charlie Miller;IOActive入侵测试经理Dan Kaminsky;Mitre公司的Steven Christey;White Hat负责运营的安全副总裁Arian Evans。
这个排名是由Black Hat、OWASP和White Hat Security赞助实施的。这些黑客技术的细节将是下个月在德国举行的IT-Defense 2011会议上演示的主题。
下面是投票评出的10大黑客技术中的其余9项黑客技术。
2. Evercookie — 这个技术能够让Java脚本创建隐藏在浏览器中8个不同位置的Cookie,从而使人们很难消除这些Cookies。Evercookie能够让黑客识别机器,即使传统的Cookie已经被删除。这个技术是Samy Kamkar创建的。
3. Hacking Autocomplete(破解自动填表功能)— 如果打开某些浏览器的自动填写网站表格的功能,恶意网站上的脚本就能够迫使这个浏览器利用存储在受害人计算机中的各种数据填写个人数据。这个技术是Jeremiah Grossman创建的。
4. 利用缓存注入攻击HTTPS — 向浏览器缓存注入恶意Java脚本库能够让黑客攻破SSL保护的网站。在缓存清除之前这个攻击都会起作用。在排名100万之内的网站中几乎一半的网站都使用Java脚本库。这个技术是Elie Bursztein、Baptiste Gourdin和Dan Boneh创建的。
5. 利用点击劫持和HTTP参数污染绕过CSRF保护 — 绕过跨站请求假冒防御并且欺骗受害者泄露自己的电子邮件身份。使用这些技术,攻击者能够重置受害人的口令并且获得访问受害者账户的权限。这个技术是Lavakumar Kuppan创建的。
6. IE8中的通用XSS — IE8有跨站脚本保护功能。这个利用安全漏洞的代码能够绕过这个保护措施,允许以恶意的方式不适当地提交网页。
7. HTTP POST拒绝服务攻击 — 将HTTP POST页头发送给服务器,让服务器知道发送了多少数据,然后这个数据以非常慢的速度发出,吞噬服务器的资源。当许多这种数据同时发出的时候,服务器就被压垮了。这个技术是Wong Onn Chee和Tom Brennan创建的。
8. JavaSnoop — 附加在目标机上的Java代理与JavaSnoop工具进行通讯,测试这台机器上的应用程序的安全漏洞。这可以用作安全工具,也可以作为黑客工具,主要取决于用户的意图。这个技术是Arshan Dabirsiagh创建的。
9. 火狐浏览器中的CSS历史破解,无需用于内部网端口扫描的java script — 用于定义HTML呈现方式的层叠样式表(CSS)可用于在受害者访问网站时获取浏览器历史。这个历史信息可用于对受害者实施钓鱼攻击。这个技术是Robert "RSnake" Hansen创建的。
10. Java程序DNS重新绑定攻击 — 两个Java程序将浏览器导向两个攻击者控制的网站,迫使浏览器绕过其DNS缓存,从而使浏览器容易受到DND重新绑定攻击。这个技术是Stefano Di Paola创建的。