Ny krypto-sårbarhet i ASP.NET

En nygammal sårbarhet har uppdagats i det sätt som ASP.NET använder Cookies för att spara sessionsinformation. Det är med hjälp av en såkallad padding oracle attack som gör det möjligt att dekryptera avlyssnade cookies samt skapa nya sessioner.

”We knew ASP.NET was vulnerable to our attack several months ago, but we didn’t know how serious it is until a couple of weeks ago. It turns out that the vulnerability in ASP.NET is the most critical amongst other frameworks. In short, it totally destroys ASP.NET security,” säger Thai Duong, som tillsammans med Juliano Rizzo, tog fram denna attack.

Se mer på threatpost