Script para comprobar si una aplicación es vulnerable al ataque de Padding Oracle

Hoy os dejamos un sencillo pero efectivo script en Python para comprobar si una aplicación en ASP.NET es vulnerable al ataque Padding Oracle (ataque al cifrado simétrico por bloques o CBC usando padding PKCS7).

Recordemos que inicialmente Microsoft publicó una contramedida para el ataque de T. Duong y J. Rizzo que podía sin embargo evadirse con herramientas como PadBuster. No fue hasta la publicación del parche MS10-070 cuando la vulnerabilidad se corrigió definitivamente.

Lo que hace el siguiente script es verificar si este parche está instalado correctamente comprobando el bloque cifrado 'd' o token en ScriptResource.axd o WebResource.axd (cipher length %8 != 0):

Comentarios