[C/C++] BruteForce
|
26-02-2013, 10h48
(Modification du message : 26-02-2013, 10h56 par b0fh.)
Message : #21
|
|
b0fh
Membre actif Messages : 210 Sujets : 17 Points: 309 Inscription : Jul 2012 |
RE: [C/C++] BruteForce
Ben, ce type de problème est plutôt présent dans les cas ou on essaie de deviner une clef secrète ou un padding ou un sel; ici à priori on suppose que le hash est connu.
Mais admettons que le serveur aie du code comme Code : h == hash Le problème est que, en comparant des strings, le temps de comparaison est proportionnel au nombre de mots communs en début de la chaine. Donc plutôt que de devoir bruteforcer un hash complet, il peut essayer plusieurs h ayant des débuts différents, mesurer le temps de réponse du serveur, et garder le plus long; et ainsi reconstruire hash en temps linéaire plutôt qu'exponentiel. Pour éviter ça, il faut t'assurer que le temps de comparaison ne dépende pas de tes données. Et donc pas de break/continue, qui changent le nombre d'itérations de tes boucles. L'attaque fameuse était celle de S. Vaudenay contre OpenSSL, qui vérifiait qu'un paquet entrant était valide en testant qu'il avait un padding et un MAC correct. Mais dans les vieilles versions, le MAC n'était pas testé si le padding était incorrect, ce qui permettait de distinguer les deux erreurs en mesurant le temps de réponse. Et pour le mode CBC, ça permet de réaliser l'attaque dite du Padding Oracle, qui permet de casser un cleartext byte par byte a condition d'avoir a disposition une boite noire qui dise pour chaque ciphertext si le padding est correct ou pas. |
|
« Sujet précédent | Sujet suivant »
|
Messages dans ce sujet |
[C/C++] BruteForce - par InstinctHack - 25-02-2013, 08h22
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 09h49
RE: [C/C++] BruteForce - par Sh4dows - 25-02-2013, 12h51
RE: [C/C++] BruteForce - par Creepy_p0ney - 25-02-2013, 13h39
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 15h01
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 16h47
RE: [C/C++] BruteForce - par Creepy_p0ney - 25-02-2013, 16h57
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 17h12
RE: [C/C++] BruteForce - par Sh4dows - 25-02-2013, 17h24
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 17h24
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 17h40
RE: [C/C++] BruteForce - par Sh4dows - 25-02-2013, 18h51
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 19h49
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 21h45
RE: [C/C++] BruteForce - par balis - 25-02-2013, 21h28
RE: [C/C++] BruteForce - par b0fh - 25-02-2013, 21h50
RE: [C/C++] BruteForce - par notfound - 28-02-2013, 14h29
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 22h02
RE: [C/C++] BruteForce - par k-otik - 26-02-2013, 03h04
RE: [C/C++] BruteForce - par InstinctHack - 26-02-2013, 04h38
RE: [C/C++] BruteForce - par gruik - 26-02-2013, 10h32
RE: [C/C++] BruteForce - par b0fh - 26-02-2013, 10h48
RE: [C/C++] BruteForce - par k-otik - 28-02-2013, 01h52
RE: [C/C++] BruteForce - par gruik - 28-02-2013, 08h29
RE: [C/C++] BruteForce - par Dobry - 26-02-2013, 16h18
|
Utilisateur(s) parcourant ce sujet : 11 visiteur(s)