Hoy os dejamos un sencillo pero efectivo script en Python para comprobar si una aplicación en ASP.NET es vulnerable al ataque Padding Oracle (ataque al cifrado simétrico por bloques o CBC usando padding PKCS7).Recordemos que inicialmente Microsoft publicó una contramedida para el ataque de T. Duong y J. Rizzo que podía sin embargo evadirse con herramientas como PadBuster. No fue hasta la publicación del parche MS10-070 cuando la vulnerabilidad se corrigió definitivamente.
Lo que hace el siguiente script es verificar si este parche está instalado correctamente comprobando el bloque cifrado 'd' o token en ScriptResource.axd o WebResource.axd (cipher length %8 != 0):
Comentarios
Publicar un comentario