SkullSecurity » Blog Archive » Everything you need to know about hash length extension attacks
jeudi 4 juillet 2013 à 08:57L'article explique l'attaque d'extension de hash:
Si vous utilisez hash(secret+donnée) pour signer une donnée (pour l'authentifier), un pirate est capable d'ajouter des données et d'obtenir une signature valide même sans connaître le secret. Dit autrement: hash(secret+donnée+ajouté) sera accepté par votre serveur, même si le pirate ne connaît pas le secret.
Voilà pourquoi, pour signer des données, il ne faut pas bricoler ça vous-même: Utilisez HMAC.
Les sources de sont attaque sont sur GitHub: https://github.com/iagox86/hash_extender
(Permalink)
Si vous utilisez hash(secret+donnée) pour signer une donnée (pour l'authentifier), un pirate est capable d'ajouter des données et d'obtenir une signature valide même sans connaître le secret. Dit autrement: hash(secret+donnée+ajouté) sera accepté par votre serveur, même si le pirate ne connaît pas le secret.
Voilà pourquoi, pour signer des données, il ne faut pas bricoler ça vous-même: Utilisez HMAC.
Les sources de sont attaque sont sur GitHub: https://github.com/iagox86/hash_extender
(Permalink)