de todo un poco
Páginas: 2 (301 palabras)
Publicado: 1 de noviembre de 2013
CRIME ("Compression Ratio Info-leak Made Easy" o filtración de información de ratio de compresión hecho fácil) es un exploit de seguridad contra cookies web secretas que operan sobre conexionesusando los protocolos HTTPS y SPDY y que también usan compresión.1 2 Cuando se usa para recuperar el contenido de cookies de autenticación secretas, permite al atacante llevar a cabo el secuestro deuna sesión web autenticada, permitiendo así lanzar otros ataques.
Índice [ocultar]
1 Detalles
2 Prevención
2.1 Vulnerabilidad
3 Véase también
4 Referencias
Detalles[editar · editar código]La vulnerabilidad explotada es una combinación de inyección de texto plano y de fuga de información a través de compresión de datos similar a la descrita en 2002 por el criptógrafo John Kelsey.3Esta se basa en que el atacante sea capaz de observar el tamaño del ciphertext enviado por el navegador mientras al mismo tiempo inducir al navegador a hacer múltiples conexiones cuidadosamentediseñadas al sitio web objetivo. El atacante entonces observará el cambio en el tamaño de la información solicitada, la que contiene tanto la cookie secreta que se envía por el navegador al sitio web,contenido variable creado por el atacante y como el contenido variable es alterado. Cuando el tamaño del contenido comprimido es reducido, se puede inferir que es probable que en alguna parte delcontenido inyectado, ésta sea igual a parte del contenido original, la que incluye el contenido secreto que el atacante desea descubrir. La técnica división y conquista puede utilizarse entonces paraaveriguar el contenido secreto usando un número relativamente pequeño de intentos, los que serán un pequeño múltiplo de los bytes secretos a ser recuperados.2 4
El exploit CRIME fue creado por losinvestigadores de seguridad Juliano Rizzo y Thai Duong, quienes también crearon el exploit BEAST.1 El exploit fue revelado en detalle en la conferencia de seguridad informática ekoparty 2012.5...
Índice [ocultar]
1 Detalles
2 Prevención
2.1 Vulnerabilidad
3 Véase también
4 Referencias
Detalles[editar · editar código]La vulnerabilidad explotada es una combinación de inyección de texto plano y de fuga de información a través de compresión de datos similar a la descrita en 2002 por el criptógrafo John Kelsey.3Esta se basa en que el atacante sea capaz de observar el tamaño del ciphertext enviado por el navegador mientras al mismo tiempo inducir al navegador a hacer múltiples conexiones cuidadosamentediseñadas al sitio web objetivo. El atacante entonces observará el cambio en el tamaño de la información solicitada, la que contiene tanto la cookie secreta que se envía por el navegador al sitio web,contenido variable creado por el atacante y como el contenido variable es alterado. Cuando el tamaño del contenido comprimido es reducido, se puede inferir que es probable que en alguna parte delcontenido inyectado, ésta sea igual a parte del contenido original, la que incluye el contenido secreto que el atacante desea descubrir. La técnica división y conquista puede utilizarse entonces paraaveriguar el contenido secreto usando un número relativamente pequeño de intentos, los que serán un pequeño múltiplo de los bytes secretos a ser recuperados.2 4
El exploit CRIME fue creado por losinvestigadores de seguridad Juliano Rizzo y Thai Duong, quienes también crearon el exploit BEAST.1 El exploit fue revelado en detalle en la conferencia de seguridad informática ekoparty 2012.5...
Leer documento completo
Regístrate para leer el documento completo.