Атака на валидацию подписанных кук в ASP.NET
Опирается на обработку ошибок при валидации подписанных кук, позволяет относительно недолгим перебором подобрать используемые сервером ключи криптования. После чего можно подделывать содержимое кук как угодно.
Более подробное описание: http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310
Видеодемонстрация: http://threatpost.com/en_us/blogs/demo-aspnet-padding-oracle-attack-091710
MS Security Bulletin: https://www.microsoft.com/technet/security/advisory/2416728.mspx
via http://www.schneier.com/blog/archives/2010/09/new_attack_agai_1.html, как обычно
Более подробное описание: http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310
Видеодемонстрация: http://threatpost.com/en_us/blogs/demo-aspnet-padding-oracle-attack-091710
MS Security Bulletin: https://www.microsoft.com/technet/security/advisory/2416728.mspx
via http://www.schneier.com/blog/archives/2010/09/new_attack_agai_1.html, как обычно