随着互联网技术的突飞猛进，据统计全球网民数量已经突破20亿。而且随着社交网站、购物网等热门网站的兴起和不断壮大，注册用户的数目已经接近于天文数字。在网络带给人们便捷的同时，保护用户的敏感信息已经成为了举足轻重的课题。通常采用密码学方法加密和认证敏感信息，但是由于传统的密码学体制不够完善，所以目前的加密和认证信息的技术并不是固若金汤，例如加密变长数据所使用的几种填充方式会导致严重的安全漏洞、一些公认强度较高的消息摘要算法如SHA1算法在设计上的缺陷同样会造成的安全漏洞等。本文所研究的PO（Padding Oracle）攻击实质上就是利用传统密码学在加密和认证过程中的漏洞所进行的一种新式web攻击技术。在研究过程中通过阐述PO攻击的原理，分析各个填充方法以及各个消息摘要算法的特点，然后提出了攻击SHA1的有效方法，进而证明了目前推荐采用的Encrypt-then-MAC认证加密模式修补策略在某些场景下的脆弱性。目前存在两大著名的优秀PO攻击工具，但是它们在性能上存在提升空间，对一些修补策略的攻击功能上存在不足，它们最大的缺陷是不能攻击带认证的加密策略。然而本文针对JSF、ASP.net两大开发框架的特点分别编写了相应的PO攻击工具，通过实际中的攻击将本文所编写的工具与两大著名工具进行对比，通过对比提出了改进的方法。本文的改进是针对目前被证明强度最高的用于完整性检验的HMAC，提出了采用HMAC密钥本进行攻击的方法。本文所采用的攻击工具在通常情况下能够达到较好的攻击效果，研究结果表明现代的密码学体系还需要不断完善。虽然Encrypt-then-HMAC认证加密模式不能完全抵御PO攻击，但是它是目前最有效的抵御PO攻击的策略。