Listen to the whispers: web timing attacks that actually work
Websites are riddled with timing oracles eager to divulge their innermost secrets. It's time we started listening to them. In this paper, I'll unleash novel attack concepts to coax out server secrets
Der Artikel behandelt praktikable Web-Timing-Angriffe und Timing-Orakel, die Servergeheimnisse preisgeben können. Er kündigt neue Angriffskonzepte an, um solche Geheimnisse aus Serververhalten abzuleiten. Konkrete betroffene Produkte, Ziele oder IOCs sind nicht im Artikel angegeben.
Websites mit Timing-Orakeln; Branchen Behörden und Telekommunikation sind angegeben
Timing-Unterschiede können Informationen preisgeben, die trotz fehlender direkter Ausgabe aus Serververhalten ableitbar sind.
Ein Angreifer leitet sensible serverseitige Informationen aus messbaren Antwortzeitunterschieden ab.
Kritische Vergleichs- und Autorisierungslogik auf konstante Laufzeit, Rauschen und fehlende messbare Orakel prüfen.
- ▸Sicherheitskritische Endpunkte auf reproduzierbare Antwortzeitunterschiede testen.
- ▸Prüfen, ob Authentifizierungs-, Autorisierungs- oder Geheimnisprüfungen timingresistent implementiert sind.
- ▸Monitoring für ungewöhnlich viele gleichartige Messanfragen gegen einzelne Endpunkte einrichten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Discovery | T1595 Active Scanning | Low | Der Artikel beschreibt das Ausnutzen von Timing-Orakeln durch Beobachtung von Serverantworten; aktive Messdetails sind nicht im Artikel angegeben. |
- Konkrete betroffene Anwendungen oder Produkte sind nicht im Artikel angegeben.
- Welche Servergeheimnisse konkret preisgegeben werden können, ist nicht im Artikel angegeben.
- Keine CVEs oder IOCs sind im Artikel angegeben.