آموزش حمله‌ی پدینگ اوراکل به نفوذگران به‌طور رایگان

یک محقق ملبورنی با نام لوئیس نیفنجر، بستر آزمون امنیت خود به نام PentesterLab را به‌روزرسانی کرده است. در این نسخه نفوذگران به راحتی می‌توانند پدینگ اوراکل را تشخیص داده و یاد بگیرند. نیفنجر این بستر آموزشی را در سال ۲۰۱۳ راه‌اندازی کرد که به کاربران اجازه می‌داد دروس عملی و تئوری را با این ابزار پشت سربگذارند. شرکت‌های مختلف نیز با هدف آزمون می‌توانند مجوز این ابزار را خریداری کنند.

پدینگ در رمزنگاری زمانی به کار می‌رود که متن اصلی کوتاه باشد و با عملیات پدینگ به حدی از طول مجاز برسد. در حمله‌ی پدینگ اوراکل، می‌توان مشخص کرد یک پیام به درستی پد شده است یا خیر و به این ترتیب با ارسال درخواست‌های زیاد، حدس صحیحی در مورد محتوای متن اصلی زده می‌شود.

پدینگ اوراکل عملکرد برنامه‌ای است که پس از رمزگشایی یک داده‌ی رمزگاری‌شده، صحت پدینگ آن را اعتبارسنجی کرده و نمایش می‌دهد. این حمله به مهاجمان اجازه می‌دهد بدون داشتن کلید رمزگشایی بتوانند داده‌های رمزنگاری‌شده را رمزگشایی کنند و به اطلاعات مهم دست یافته و امتیازات خود را ارتقاء دهند.

اینک نیفنجر اعلام کرده که به همراه FitBit از برنامه‌ی فتح پرچم خود یک دوره‌ی درسی ۴ ساعته تهیه کرده است. در این دوره‌ی درسی دانش‌آموزان با یک حمله‌ی پدینگ اوراکل سروکار خواهند داشت که به بهره‌برداری از یک وب‌گاه PHP شبیه‌سازی‌شده می‌پردازد. این وب‌گاه برای احراز هویت کاربران داده‌ها را با زنجیره‌ی رمز بلوکی رمزنگاری می‌کند.

نیفنجر می‌گوید: «زمانی که یک برنامه داده‌های رمزنگاری‌شده را رمزگشایی می‌کند، ابتدا داده را رمزگشایی کرده و در ادامه پدینگ آن را حذف می‌کند. در حین حذف کردن پدینگ، برای تشخیص نامعتبر بودن پدینگ مورد استفاده‌ی شما، باید از حمله‌ی پدینگ اوراکل استفاده شود. تشخیص نامعتبر بودن پدینگ یک خطا محسوب می‌شود که باعث می‌شود یا به نتیجه نرسید یا کار شما به کُندی پیش برود. اگر شما اشتباه بودن پدینگ مورد نظر خودتان را سریع تشخیص دهید می‌توانید به راحتی داده‌ها را رمزگشایی کرده و در ادامه به انتخاب خودتان مجدداً رمزنگاری کنید.»
کاربران می‌توانند دوره‌های برون‌خط این کلاس‌ها را به‌طور رایگان استفاده کنند و برای نسخه‌ی برخط نیز می‌توانند آن را خریداری کنند. دوره‌های برخط دارای کلاس‌های بیشتری است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.