[Owasp-vietnam] Tấn công vào webservice (Flickr)

Nam Nguyen namn at bluemoon.com.vn
Tue Sep 29 09:20:01 EDT 2009


Đây là nghiên cứu của Dương Ngọc Thái và Juliano Rizzo:

http://netifera.com/research/flickr_api_signature_forgery.pdf

Cách tấn công này tận dụng lỗi cơ bản trong việc thiết kế các giao thức mã hóa (cryptographic protocols). Trong bài viết của Ross Anderson và Roger Needham (http://www.cl.cam.ac.uk/~rja14/Papers/satan.pdf), hai ông viết:

"where the identity of a principal is essential to the meaning of a message, it should be mentioned explicitly in that message"

Trong tấn công Flickr, tên tham số và giá trị của nó có giá trị như nhau, vi  phạm nguyên tắc trên.

Tuy nhiên, tấn công Flickr có một điểm thú vị ở chỗ sử dụng MD5 hash extension.

Cheers
-- 
Nam Nguyen, CISA, CISSP, CSSLP
Blue Moon Consulting Co., Ltd
http://www.bluemoon.com.vn


More information about the Owasp-vietnam mailing list