Firmy Black Hat i White Hat Security oraz organizator konferencji konferencji OWASP (Open Web Application Security Project) zainicjowały głosowanie na 10 "najlepszych" - czytaj: najgroźniejszych, najbardziej innowacyjnych - typów ataków, jakie opracowano w 2010 r. W głosowaniu wzięli udział tacy specjaliści jak Charlie Miller (wielokrotny zwycięzca konkursów hakerskich Pwn2Own); Dan Kaminsky, który wykrył poważny błąd w krytycznym dla funkcjonowania Internetu protokole Domain Name System; Giorgio Maone - autor rozszerzenia NoScript dla przeglądarki Firefox; Chris Wysopal - szef działu technicznego firmy Veracode.

Jury uznało, że tytuł najlepszej techniki hakerskiej 2010 r. należy się atakowi Padding Oracle Crypto Attack. Polega on na wykorzystaniu luk w mechanizmie środowiska Microsoft ASP.NET, służącym do ochrony ciasteczek przechowujących dane szyfrowania AES.

Zobacz również:

• Chrome lepiej zadba o prywatność użytkowników. Czy na pewno?

Jeśli dane szyfrowania w pliku cookie zostały zmienione, ASP.NET przetwarza je tak, że aplikacja może w niezamierzony sposób udostępnić wskazówki, jak odszyfrować ruch sieciowy. Wystarczająco duża liczba zmian w ciasteczkach i ilość informacji wysyłanych przez aplikację mogą pomóc włamywaczowi ustalić, które z możliwych bitów można wyeliminować z klucza szyfrującego. To z kolei zmniejsza liczbę nieznanych bitów tak, że łatwo je odgadnąć.

Autorzy ataku - Juliano Rizzo i Thai Duong - opracowali specjalne narzędzie służące do przeprowadzenia ataku.

Pozostała dziewiątka topowych technik hakerskich AD 2010 przedstawia się następująco:

2. Wieczne ciasteczka, evercookies (Samy Kamkar) - JavaScriptowe API, które tworzy ciasteczka służące identyfikacji internautów oraz zapobiega ich usuwaniu (wykrywa fakt usunięcia pliku cookie i przywraca go).

3. Zhakowane autouzupełnianie (Jeremiah Grossman) - jeśli funkcja autouzupełniania formularzy na stronach WWW, oferowana przez przeglądarki internetowe, jest włączona, skrypt na niebezpiecznej witrynie może zmusić przeglądarkę do wypełnienia formularza danymi użytkownika, składowanymi na komputerze.