爱测未来安全-前端性能测试平台及应用

最新推荐文章于 2024-06-30 12:32:05 发布
原创 最新推荐文章于 2024-06-30 12:32:05 发布 · 646 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

1 前引知识

1.1 Padding oracleattack是什么

   在2011年的Pwnierewards中,ASP.NET的这个漏洞被评为最具价值的服务器漏洞。

   它是加密算法中的CBC Mode加密方式,如果满足攻击条件,那么利用Padding Oracle能够在不知道密钥的情况下,解密任意密文,或者构造出任意明文的合法密文。

1.2 Padding Oracle Attack攻击的原理    

    密文采用的是”ASCII十六进制的表示方法”或者也可以采用“base64编码方法”。这种表示方式是保证在网络上传输的正确而不受不同系统间编码方案的影响。采用的是分组算法。

    我们重点关注的是最后一个分组的解密结果,如图所示:



到最后一个分组的末尾的数值为0×04,即表示填充了4个Padding。如果最后的Padding不正确(值和数量不一致),则解密程序往往会抛出异常(Padding Error)。而利用应用的错误回显,我们就可以判断出Paddig是否正确。

2 Padding oracle attack攻击实例

   以某外国网站为例,首先查看源代码发现存在 WebResource.axd 和 ScriptResource.axd 这两个文件。




    我们使用自动化工具padbuster,我们使用如下命令来获取我们想读取的文件的密文。




 这里产生的密文就是加密后的 web.config 和一些填充的字符串组成的,因为此时我们不知道密钥的值,生成出加密后的 web.config 的字符串。




 利用如下命令:




经过一段时间,我们在跑出的数据中发现有一个返回的 Content-Length 与众不同




查看其log文件,发现的确是 web.config 的内容。



3 防御方法

   Padding Oracle Attack的关键在于攻击者能够获知解密的结果是否符合Padding。在实现和使用CBC模式的分组加密算法时。比如可以加上try catch机制。


还没看过瘾吗?!留言你想要了解的哪方面的测试技术,爱测未来团队会为你精心讲解。

喜欢我们请关注我们的公众号,各种测试技术在等着你哟!(下方有惊喜)

公众号:itest_forever


优快云:http://blog.youkuaiyun.com/itest_2016

QQ群:274166295(爱测未来2群)、610934609(爱测未来3群)


爱测未来合肥测试技术嘉年华第三届正在火热报名!!!

会场地址:合肥市望江西路666号科大讯飞语音产业基地A1#201会场

时间:2017.07.08(时间暂定)

在线报名表:https://www.sojump.hk/jq/14382135.aspx

技术嘉年华官网:http://itest.iflytek.com/



软件试知识点和面试题--性能测试
行走在路上
02-14 5583
基础理论 概念 性能测试:使用自动化工具,模拟同的场景,对软件各项性能指标进行试和评估的过程 ​ QPS:即Queries Per Second的缩写,每秒能处理查询数目。是一台服务器每秒能够相应的查询次数,是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准。每秒钟处理完请求的次数;注意这里是处理完,具体是指发请求到服务器处理完成功返回结果。可以理解在server中有个counter,每处理一个请求加1,1秒后counter=QPS。QPS = 并发量 / 平均响应时间 ​ TPS:即
【愚公系列】《AIGC辅助软件开发》019-AI 辅助试与调试:AI辅助试与调试应用案例
热门推荐
时光隧道
07-30 6万+
在当今软件开发领域,软件试起着至关重要的作用。软件试是确保软件质量的关键步骤,能够发现软件中的缺陷和错误,从而提高软件的可靠性、稳定性和安全性。然而,传统的软件试方法存在许多问题,如试效率低、试质量难以保证、试成本高等。因此,AI技术在软件试领域的应用已成为一种必然趋势。应用领域描述1. 试需求分析AI技术可以协助试人员快速、准确地分析和整理试需求,从而更好地理解需求,为后续的试工作提供支持。2. 编写试计划。
未来性能-前端性能测试平台应用
爱测未来团队博客
06-05 2711
性能测试一直是Web应用中非常受关注的部分。目前人们对性能的关注还主要集中在服务端,大部分人在说到“性能测试”的时候,都会把重点放到服务端的性能测试和调优,也就是通过各种方法找到服务端的性能瓶颈并尝试对其进行调优。实际上,对于web应用来说,除了考虑服务端在足够短的时间内返回页面数据之外,还可以从页面前端的角度来考虑性能测试和性能调优。本文将围绕前端性能测试目的、平台搭建及应用进行介绍。
未来安全-一次成功的探索型渗透
爱测未来团队博客
05-18 619
本期给大家实战分享思路,好了,废话多说了开始进入正题 目标站: 某国外站   渗透第一步是首先信息收集,我们先打开看下站点信息 可以看是国外的网站,然后我们看下它的搭建环境 没有报错版本信息,可能做了优化,算了直接去站长之家查询,通过查询得到以下信息 可以看下是iis8.5,
数据库性能分析与优化(未来团队内训材料)
爱测未来团队博客
09-04 434
内存管理方式:MSMM、ASMM(sga_target)、AMM(memory_target) 小内存有小内存的问题,大内存有大内存的麻烦!ORA-04031 Buffer cache 和 sharedpoolsize 的 begin/end值在 ASMM、AMM 和 11gR2MSMM 下可是会动 Parses解析次数,包括软解析+硬解析,我们希望的是 ...
Padding Oracle Attack的一些细节与实现
weixin_30443813的博客
05-23 477
Padding Oracle Attack还是颇具威力的,ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。还是看Juliano Rizzo and Thai Duong的相关Paper。 另外就是padbuster这个工具也是针对padding oracle的自动化实现,而且作者写的文章也是阐述padding orac...
2018-2019-2 20165334《网络对抗技术》 期末免考项目:关于CBC Padding Oracle Attack 的研究及渗透试 最终版...
weixin_30394251的博客
06-26 777
2018-2019-2 20165334《网络对抗技术》 期末免考项目:关于CBC Padding Oracle Attack 的研究及渗透试 研究背景   ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。Oracle是数据库Oracle,通常是指服务器端,padding oracle针对的是加密算法中的CBC Mode,当加密...
毕业设计-mpvue性能测试与体验miniweibo-整站商业源码.zip
最新发布
05-18
性能测试方面,该项目对开发完成的miniweibo应用进行了全面的性能分析。性能测试是为了评估软件系统的性能,包括响应时间、吞吐量、资源消耗和稳定性等方面。对于小程序来说,性能测试尤为重要,因为小程序的性能...
性能测试整理-李文祥.pdf
05-26
#### 五、性能测试应用领域 性能测试应用领域主要包括以下几个方面: - **能力验证**:验证系统是否具备某种能力。 - **规划能力**:如何才能达到要求的性能指标。 - **性能调优**:通过试来调整系统的环境,...
软件试29-聊聊性能测试的基本方法与应用领域
qq_53280238的博客
06-30 1021
当系统整体负载并是很大时,随着并发用户数的增长,系统的吞吐量也会随之线性增长;随着并发用户数的进一步增长,系统处理能力逐渐趋于饱和,因此每个用户的响应时间会逐渐变长,相应地,系统的整体吞吐量并会随着并发用户数的增长而继续线性增长。如果并发用户数再继续增长,系统处理能力达到过饱和状态,此时所有用户的响应时间会变得无限长,相应地,系统的整体吞吐量会降为零,系统处于被压垮的状态。
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
08-08
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
ms10-070利用padBuster.pl
11-11
利用ms10-070 ASP.NET Padding Oracle信息泄露漏洞,可以读到web.config等重要文件。
PadBuster-master.zip
09-06
PadBuster-master.zip 需要perl环境,报错的话需安装 libwww-perl-5.837.tar.gz ,我资源里有
Padding Oracle Attack 分析
4ct10n
05-12 9115
Padding Oracle Attack是一个经典的攻击,在《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式,本篇文章结合着NJCTF的Be admin 进行详细的讲解,扫除知识上的盲点。 本篇文章讲解的顺序是攻击原理、攻击条件、本地试、结果分析与总结四个方面进行详细的讲解。
Padding Oracle Attack实例分析
buptisc_txy的专栏
11-24 1780
转自:http://blog.zhaojie.me/2010/10/padding-oracle-attack-in-detail.html,谢谢老赵! cookie在保证一段时间的有效登录时,估计会涉及padding oracle的漏洞。 老赵没有提到怎么防范这种类型的漏洞,我看1 用cbc的加密方式。2 随机加密密钥。3  格式错误,比如padding错误,并明显提示来。
Padding Oracle Attack填充提示攻击-渗透
HBohan的博客
07-06 811
漏洞简介 最近学习了一个shiro的 Critica级漏洞的验证,利用Padding Oracle Vulnerability破解rememberMe Cookie,达到反序列化漏洞的利用,攻击者无需知道rememberMe的加密密钥。 明文分组和填充就是PaddingOracleAttack的根源所在,但是这些需要一个前提,那就是应用程序对异常的处理。当提交的加密后的数据中现错误的填充信息时,安全应用程序解密时报错,直接抛“填充错误”异常信息。 Padding Oracle Attack是.
未来移动-iTest的实战应用实例
爱测未来团队博客
05-17 4412
本期内容主要为大家介绍iTest的实战应用案例。 iTest可以监控多个App或linux进程的CPU、PSS、流量、电量,针对多进程的App也同样适用,同时监控整机的CPU占用、剩余内存、CPU温度、FPS。此外,提供了CPU、内存、弱网等辅助试场景的模拟。 一、linux进程监控 linux进程并非App应用,其并一定有UID,所以也能通过常规的筛选应用的方式,借助iT
[Vulhub] Apache Shiro 反序列化漏洞(shiro-550,shiro-721)
weixin_45605352的博客
05-15 3337
0x00 漏洞描述 Apache Shiro是一款开源强大且易用的Java安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 0x01 影响版本 Apache Shiro <= 1.2.4 漏洞特征: shiro反序列
白帽子讲Web安全(第 11 章 加密算法与随机数)
sports-boy的博客
08-18 585
第 11 章 加密算法与随机数 加密算法与伪随机数算法是开发中经常会用到的东西,但加密算法的专业性非常强,在 Web 开发中,如果对加密算法和伪随机数算法缺乏一定的了解,则很可能会错误的使用它们,最终导致应用安全问题。 11.1 概述 密码学有着悠久的历史,它满足了人们对安全的最基本需求----保密性。密码学可以说是安全领域发展的基础。 常见的加密算法通常分为 分组加密算法 与 流密码加密算法 两种,两者的实现原理同。 分组加密算法基于“分组”( block )进行操作,根据算法的同,每个分组的长
淘宝平台性能测试详细分析报告
淘宝性能测试白皮书中可能还会介绍性能测试工具的使用方法、选择标准以及应用案例: - 开源性能测试工具的介绍,如Apache JMeter、Gatling等。 - 商业性能测试工具,如LoadRunner、Neotys等。 - 性能测试数据采集和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值