دو پژوهشگر به نامهای Juliano Rizzo و Thai Duong نرم افزاری منتشر کردهاند که به شیوهای خاص، اطلاعات شخصی افراد را در اینترنت فاش کرده و با بهرهگیری از یک ضعف موجود در فناوری توسعه وب، میتوانند کدهای مخرب مورد نظر را بر سرور سایتها اجرا نماید.
این ابزار Padding Oracle Exploitation Tool نام دارد و به اختصار Poet خوانده میشود.
بنا به گزارش مشورت از Register، با استفاده از این شیوه میتوان دادههای مخفی را که توسط فناوری JavaServer Faces رمزنگاری شده، رمزگشایی کرد.
جالب اینجاست که در این فرآیند، به داشتن کلید مربوط به رمزنگاری اصلاً نیاز نیست.
Rizzo گفت این نرمافزار از یک خطای بسیار رایج استفاده میکند: استفاده از رمزنگاری به تنهایی، به جای رمزنگاری + محافظت کامل تصدیق هویت.
در ادامه این گزارش آمده است که هکرها میتوانند از گوگل برای یافتن سایتهایی که در برابر این نوع حمله آسیبپذیر هستند استفاده نمایند.
بنا به گفته محققان، گوگل عباراتی همچون Given final block not properly padded و یا javax.crypto.BadPaddingException را با هزاران جواب برمیگرداند.
Poet بر ویندوز، مکینتاش و لینوکس اجرا میشود.