Утилита Poet — для компрометации сайтов

В феврале этого года состоялся релиз утилиты Padding Oracle Exploitation Tool (Poet) (ссылка: netifera.com/research/poet/BlackHat-EU-2010-Duong-Rizzo-Padding-Oracle-wp.pdf), которая была официально выпущена на этой неделе. Чем примечательна данная «тулзь»:

• умеет извлекать персональную информацию и выполнять произвольный код на тысячах веб-сайтов, используя уязвимость в популярной платформе разработки JavaServer Faces.
• способна раскодировать зашифрованные данные без наличия секретного ключа.
• позволяет злоумышленникам обходить CAPTCHA, получать доступ к личной информации, которая хранится на порталах банков, онлайн-магазинов и других компаний, также Poet можно использовать для запуска на серверах вредоносного кода.

Что еще интересного может Poet? Утиль использует известную уязвимость при шифровании текста, хранимого в cookie, скрытых полях HTML и параметрах запросов, при этом модифицируя зашифрованную информацию и отправляя ее обратно на сервер, хакеры смогут восстанавливать из малых фрагментов зашифрованные данные, имея возможность получать доступ к паролям и закрытым папкам веб-серверов.

Прога была удачно протестирована на серверах Apache и Sun Mojarra, работающих в паре с JavaServer Faces. Но, как считают исследователи, уязвимыми могут оказаться и многие другие платформы. Poet работает под управлением всеми известных ОС Windows, Mac OS X и Linux.