sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

SkullSecurity » Blog Archive » Everything you need to know about hash length extension attacks

Thursday 4 July 2013 at 08:57

L'article explique l'attaque d'extension de hash:
Si vous utilisez hash(secret+donnée) pour signer une donnée (pour l'authentifier), un pirate est capable d'ajouter des données et d'obtenir une signature valide même sans connaître le secret. Dit autrement: hash(secret+donnée+ajouté) sera accepté par votre serveur, même si le pirate ne connaît pas le secret.
Voilà pourquoi, pour signer des données, il ne faut pas bricoler ça vous-même: Utilisez HMAC.

Les sources de son attaque sont sur GitHub: https://github.com/iagox86/hash_extender
(Permalink)

Source: http://www.skullsecurity.org/blog/2012/everything-you-need-to-know-about-hash-length-extension-attacks