Michał Bentkowski: Czym jest atak Padding Oracle
![Programista 12/2015 (43) styczeń/luty [okładka]](https://programistamag.pl/wp-content/uploads/magazines/covers/43.jpg)
Padding Oracle to atak, który pozwala na wyłuskanie tekstu jawnego z zaszyfrowanych danych bez znajomości klucza szyfrującego, a także bez potrzeby znalezienia jakichkolwiek błędów w samym algorytmie szyfrującym. Swego czasu atak był wykorzystywany m.in. do złamania mechanizmu sesji w ASP.NET, co z kolei pozwalało na przejęcie uprawnień dowolnego użytkownika. Innym, świeższym przykładem jest opisany w 2014 roku atak POODLE, którego nazwa znaczy Padding Oracle On Downgraded Legacy Encryption, wskutek którego zaleca się, aby nie używać już SSLv3. W tym artykule omówimy, czym jest Padding Oracle, wraz ze schematem ataku oraz metodami obrony.