メルボルンのセキュリティ担当者 Louis Nyffenegger 氏は、自身の人気のセキュリティ テスト プラットフォーム PentesterLab を更新し、ハッカーがパディング オラクルの検出方法を学ぶことができるようにしました。
Nyffenegger は 2013 年に教育プラットフォームを立ち上げ、ユーザーが無料で実践コースや理論コースを受講できるようにし、企業にはライセンス料を支払うオプションを提供しました。
パディングオラクルとは、暗号化されたデータを復号し、復号後にパディングの有効性を漏洩させるアプリケーションの機能です。これにより、攻撃者は関連する鍵を知らなくても、暗号化されたデータと暗号化されたデータを復号することができ、機密データの漏洩や権限昇格の脆弱性につながる可能性があります。
現在FitBitに所属するNyffenegger氏は、Capture-The-Flagバッジの4時間コース部分を書いたと語る。
学生は、認証のためにユーザーデータを暗号化するために Cipher Block Chaining を使用するシミュレートされた PHP ウェブサイトの活用について詳しく説明するコースで、パディング オラクルについて学習します。
「アプリケーションが暗号化されたデータを復号する際、まずデータを復号し、次にパディングを削除します。パディングのクリーンアップ中に、無効なパディングが検出可能な動作を引き起こす場合、パディングオラクルが存在します」とニフェネガー氏は言います。
「検出可能な動作としては、エラー、結果の欠如、応答の遅延などがあります。
「この動作を検出できれば、暗号化されたデータを復号化し、さらに任意の平文を再暗号化することもできます。」
ユーザーは、詳細なコースをオフラインで無料で受講することも、追加のクラスが付属するオンライン版を有料で受講することもできます。®
