Passa al contenuto principale

7.5.7. Attacchi di padding con valori di campo multipli (Padding Attacks with Multiple Field Values)

7.5.7. Attacchi di padding con valori di campo multipli (Padding Attacks with Multiple Field Values)

Poiché i valori dei campi HTTP devono essere combinati in un'unica stringa di valore da includere nella base della firma HTTP (vedere Sezione 2.5), è possibile che un attaccante inietti un valore aggiuntivo per un dato campo e lo aggiunga alla base della firma del verificatore.

Nella maggior parte delle circostanze, ciò fa fallire la convalida della firma come atteso, poiché il nuovo valore della base della firma non corrisponderà a quello usato dal firmatario per creare la firma. Tuttavia, è teoricamente possibile che l'attaccante inietti sia un valore spurio in un campo sia un valore desiderato in un altro campo per forzare un particolare input. Questa è una variante dell'attacco di collisione descritto nella Sezione 7.3.1, in cui l'attaccante realizza la propria modifica al messaggio aggiungendo ai valori di campo esistenti.

Per contrastare ciò, un'applicazione deve convalidare il contenuto dei campi coperti dalla firma oltre a garantire che la firma stessa sia valida. Con tali protezioni, l'attacco di padding dell'attaccante sarebbe rifiutato dall'elaboratore dei valori dei campi, anche nel caso in cui l'attaccante potesse forzare una collisione della firma.

Ultimo aggiornamento il