专家票选2010年十大网络黑客技术

     一个专家委员会公开投票评出2010年10大网络黑客技术。一个能够给在线银行交易造成威胁的网络黑客技术列为排在第一位的网络黑客技术。
    这种名为“Padding Oracle Crypto Attack”的黑客技术利用微软的Web框架ASP.NET保护AES加密Cookie的方式实施攻击。
    如果Cookie中的加密数据被修改,ASP.NET处理它的方式就会导致应用程序泄露有关流量加密方式的信息。通过反复改变和泄露信息,黑客就能够推断出能够在加密密钥中消除哪些字节。这就会把未知的字节数量减少到足够少的程度以便进行猜测。
    这个破解技术的开发者Juliano Rizzo和Thai Duong已经开发出一个执行这个破解任务的工具。
    "Padding Oracle Crypto Attack"通过投票被评为排名第一的黑客技术。参与投票的专家包括:InGuardians公司创始人Ed Skoudis;NoScript的作者Girogio Maone;Armorize首席执行官Caleb Sima;Veracode首席技术官Chris Wysopal;OWASP董事长兼首席执行官Jeff Williams;Independent Security Evaluators公司安全顾问Charlie Miller;IOActive入侵测试经理Dan Kaminsky;Mitre公司的Steven Christey;White Hat负责运营的安全副总裁Arian Evans。
    这个排名是由Black Hat、OWASP和White Hat Security赞助实施的。这些黑客技术的细节将是下个月在德国举行的IT-Defense 2011会议上演示的主题。
    下面是投票评出的10大黑客技术中的其余9项黑客技术。
    2. Evercookie — 这个技术能够让Java脚本创建隐藏在浏览器中8个不同位置的Cookie,从而使人们很难消除这些Cookies。Evercookie能够让黑客识别机器,即使传统的Cookie已经被删除。这个技术是Samy Kamkar创建的。
    3. Hacking Autocomplete(破解自动填表功能)— 如果打开某些浏览器的自动填写网站表格的功能,恶意网站上的脚本就能够迫使这个浏览器利用存储在受害人计算机中的各种数据填写个人数据。这个技术是Jeremiah Grossman创建的。
    4. 利用缓存注入攻击HTTPS — 向浏览器缓存注入恶意Java脚本库能够让黑客攻破SSL保护的网站。在缓存清除之前这个攻击都会起作用。在排名100万之内的网站中几乎一半的网站都使用Java脚本库。这个技术是Elie Bursztein、Baptiste Gourdin和Dan Boneh创建的。
    5. 利用点击劫持和HTTP参数污染绕过CSRF保护 — 绕过跨站请求假冒防御并且欺骗受害者泄露自己的电子邮件身份。使用这些技术,攻击者能够重置受害人的口令并且获得访问受害者账户的权限。这个技术是Lavakumar Kuppan创建的。
    6. IE8中的通用XSS — IE8有跨站脚本保护功能。这个利用安全漏洞的代码能够绕过这个保护措施,允许以恶意的方式不适当地提交网页。
    7. HTTP POST拒绝服务攻击 — 将HTTP POST页头发送给服务器,让服务器知道发送了多少数据,然后这个数据以非常慢的速度发出,吞噬服务器的资源。当许多这种数据同时发出的时候,服务器就被压垮了。这个技术是Wong Onn Chee和Tom Brennan创建的。
    8. JavaSnoop — 附加在目标机上的Java代理与JavaSnoop工具进行通讯,测试这台机器上的应用程序的安全漏洞。这可以用作安全工具,也可以作为黑客工具,主要取决于用户的意图。这个技术是Arshan Dabirsiagh创建的。
    9. 火狐浏览器中的CSS历史破解,无需用于内部网端口扫描的JavaScript — 用于定义HTML呈现方式的层叠样式表(CSS)可用于在受害者访问网站时获取浏览器历史。这个历史信息可用于对受害者实施钓鱼攻击。这个技术是Robert "RSnake" Hansen创建的。
    10. Java程序DNS重新绑定攻击 — 两个Java程序将浏览器导向两个攻击者控制的网站,迫使浏览器绕过其DNS缓存,从而使浏览器容易受到DND重新绑定攻击。这个技术是Stefano Di Paola创建的。

(责任编辑:)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

如何运维网站能让其稳定高效之稳定篇

如何运维网站能让其稳定高效之稳定篇

作为一名运维工程师,工作中最大的希望就是自己运维的网站能够稳定高效运行,但理想很...[详细]

黑客、Geek等高手们都是这样上网的

黑客、Geek等高手们都是这样上网的

电脑高手们都会尽可能地寻找各种快捷高效的操作方式,譬如很多快速启动类的工具(如Exe...[详细]

如何选择最佳的数据中心闪存?

如何选择最佳的数据中心闪存?

全闪存数据中心是个未来概念,同样还有不少方法实现数据中心内服务器或基于阵列的闪存...[详细]

手机解锁:图案、数字谁更强?

手机解锁:图案、数字谁更强?

手机九宫格解锁到底安全不?九宫格能画出多少图案啊?我自己设置的九宫格总是被同学分...[详细]

黑客声称一款流行的加密App竟然只用了异或

黑客声称一款流行的加密App竟然只用了异或加密!

一名黑客生成加密程序的作者竟然没有实现其核心的功能:加密! 这位ID为NinjaDoge24(...[详细]

返回首页 返回顶部