Gần đây, 2 nhà nghiên cứu đã cho ra đời công cụ có thể dùng để bẻ khóa dữ liệu đã được mã hóa qua hệ thống web server được chứa trong cookies và các ký tự ẩn trong trang HTML. Cách thức này được sử dụng trong công cụ Padding Oracle Exploitation Tool (Poet) của Juliano Rizzo và Thai Duong, đồng thời cũng được dùng để crack CAPTCHAS. Poet được sử dụng trong Padding Oracle AttackPDF, lần đầu được phát hiện năm 2002, chuyên sử dụng để giải mã chế độ Cypher Block Chaining (CBC) mà không cần đến key. Các ứng dụng web như trên sử dụng framework phổ biến JavaServer Faces (JSF) cũng dễ dàng bị khai thác theo cách này. Cơ chế tấn công Padding Oracle Attack đã chỉ ra rằng thực tế các khối mã hóa riêng biệt phải đạt độ dài tối thiểu 8 hoặc 16 byte cho mỗi ký tự. Nhưng để đáp ứng được yêu cầu, những cơ chế này phải sử dụng thêm các byte bổ sung đối với các khối cuối cùng. Bên cạnh đó, có rất nhiều phương thức để thực hiện cơ chế bổ sung này, và 1 trong số đó sử dụng crack. Đây là thời điểm mà Padding Oracle – chương trình hoặc dịch vụ cần thiết được sử dụng để thông báo trạng thái để cho biết liệu việc bổ sung dung lượng trong các gói dữ liệu nhận được có được coi là hợp lệ hay không, và tiếp tục tham gia vào quá trình tổng thể. Đây chính xác là những gì mà framework JFS thể hiện. Bằng cách thử tất cả các cách bổ sung và kết hợp khác có thể, cơ chế này hoàn toàn có thể giải mã ViewStates, vốn được nhúng sẵn trong trang HTML và dùng để lưu trữ thông tin lượng truy cập từ phía client nhanh chóng. Các bạn có thể xem video trình diễn quá trình này trên Youtube. [youtube] Các dữ liệu đã được giải mã đồng thời lưu trữ lượng thông tin bí mật mà khách ghé thăm website không được quyền truy cập. Cơ chế tấn công này được miêu tả đầy đủ và cặn kẽ tại đây. Mặt khác, công nghệ này cũng được sử dụng để hóa mã các giải pháp khác, 1 trong số đó là mã hóa ký tự ảnh trong mẫu có sẵn – điển hình là CAPTCHAS. Để tránh việc lưu trữ những thông tin này, một số hệ thống server chuyển toàn bộ dữ liệu tới client rồi sau đó so sánh với tín hiệu trả về. Mặc dù Poet chỉ có thể crack ViewStates, nhưng điều này cũng đủ để giúp các nhà phát triển kiểm tra và phát hiện lỗ hổng trên trang web của họ. Công cụ này có giao diện đồ họa GUI và hoạt động với Windows, Mac OS X và Linux.
