Forbidden Attack:7萬臺web伺服器陷入被攻擊的險境
一些受VISA HTTPS保護的站點,因為存在漏洞容易受到Forbidden攻擊,有將近70,000臺伺服器處於危險之中。
一種被稱為“Forbidden攻擊”的新攻擊技術揭露許多HTTPS簽證網站容易受到網路攻擊,大約70,000臺伺服器處於危險之中。一群國際研究人員(Hanno Böck, Aaron Zauner, Sean Devlin, Juraj Somorovsky, and Philipp Jovanovic)發現該威脅動作可以向訪問者的瀏覽器中注入惡意程式碼和偽造內容。
該組織已經發表了一篇題為“Nonce-Disrespecting對手:在TLS中對GCM的實用的偽造攻擊”的文章。
專家已經發現有184臺伺服器受到了攻擊,其中的一些屬於德國證交所德意志交易所和波蘭銀行業協會Zwizek Bankow Polskich。 這種攻擊利用並不新鮮,事實上這種攻擊利用已經有至少十年的時間了,但很顯然,它已經被遺忘了。Forbidden攻擊的漏洞利用證據是十分確鑿的,研究人員還現場演示瞭如何利用它來攻擊加密通訊。
包括德意志交易所的一些組織已經解決了這個問題, 但是Visa和Zwizek Bankow Polskich仍然是易受攻擊的。
該漏洞是由TLS協議中在資料加密時重用相同的隨機數引起的。nonce重用為Forbidden攻擊開啟了大門,黑客可以利用它來生成用於對網站內容進行身份驗證的關鍵材料。
使用相同的nonce使得當瀏覽器第一次連線到一個HTTPS保護的站點時,威脅活動可以很容易地通過與攻擊者共享的傳輸通道注入偽造的內容 (比如,在一個未加密的無線網路中,攻擊者在同一個區域網段)。
此時,篡改的傳輸不會觸發任何可疑行為來提醒受害者。
研究人員在他們發表的論文中這樣寫道:“在他給NIST Joux[18]的評論中描述了一個由於nonce重用而針對GCM的攻擊。這種攻擊允許攻擊者學習認證金鑰和偽造資訊。因為nonce的唯一性是典型的密碼分析的基本原則,所以Joux稱他的攻擊為“Forbidden攻擊”。不過,它強調了一個在實際實現時重要的失效模式。只要這個nonce被重用了一次並且被我們用來實施了一個針對HTTPS的實用的偽造攻擊,這將帶來嚴重的真實性的失效問題。”
黑客可以執行一個Forbidden攻擊來篡改通訊和新增惡意的JavaScript程式碼或新增用於欺詐活動的Web內容。
研究人員線上釋出的一個概念驗證利用程式碼顯示了攻擊的可行性,他們還發布了一個攻擊脆弱的Visa網站的視訊(https://youtu.be/qByIrRigmyo)。
專家們注意到,通過給予足夠的web請求,那些易受攻擊的網站會有很高的概率重用nonce,他們估計,對於一個成功的攻擊來說需要的請求數量仍然極高。
論文中的一個表格顯示,其中包括nonce碰撞的概率在目前的64位大小上是2n。專家們發現,大約230個請求時的概率是3%,235個請求時可以有100%的機率。
研究人員進行的這項研究被分成多個子任務,最初他們掃描網路尋找目標,然後他們試圖找到易受攻擊的那些。
“我們針對網路連線裝置的評估一直被分成多個子任務。最初是發現掃描,緊接著漏洞掃描發現目標裝置上使用不同引數的時間跨度約為18天。在本節中,我們描述了在我們的評估中用於發現和分析網路連線裝置的方法。”這篇論文中寫道。
在被研究人員發現的這70000個網站中,專家們發現了幾個有缺陷的TLS實現,其中一個在IBM的Domino Web伺服器上,另一個在Radware的負載平衡器上,這兩個目前都已經被修復了。
結語
對於企業而言最重要的資產就是應用程式和其中的資料,現有常用的防護手段包括基礎設施保護和邊界防護,比如防火牆/WAF/IPS等。
- 其一,邊界防護是對網路訪問和內容進行檢查,這些保護措施並不清楚應用程式的行為:內部邏輯和資料處理過程,因此缺乏保護的精確性。
- 其二,邊界技術“天真”的認為程式內部是安全的,不安全因素來自外部。但從過去幾年的經驗中得出,最具毀滅性的攻擊,恰恰來自內部,甚至是企業所信賴的員工。這正是邊界技術的軟肋。
- 其三,過去一段時間的資料表明,明顯網路邊界逐漸消失。隨著網際網路的發展,越來越多的消費者開始向雲端靠攏,他們更多的工作都是在企業外部完成的,邊界技術難以針對這種變化環境提出有效的保護。
RASP,Runtime Application Self-protection,實時應用自我防護,是一種最新的應用層防護技術。能夠克服上述問題,在執行時環境結合應用上下文防護,程式碼級定位漏洞,完爆Forbidden Attack等常見攻擊。
相關文章
- 如何用iptables來防止web伺服器被CC攻擊Web伺服器
- 【知識分享】 伺服器被攻擊怎麼辦?如何防止伺服器被攻擊伺服器
- 【機器學習】李宏毅——Adversarial Attack(對抗攻擊)機器學習
- 怎麼防止伺服器被攻擊?伺服器
- 人機介面裝置攻擊(HID Attack)
- 伺服器被攻擊瞭如何解決?伺服器
- 如何判斷伺服器是否被攻擊伺服器
- 伺服器被攻擊的基本處理辦法伺服器
- 13 種危險的網路攻擊
- Blind Return Oriented Programming (BROP) Attack - 攻擊原理
- 伺服器被DDOS攻擊防禦的SHELL指令碼伺服器指令碼
- 伺服器被攻擊後,我學到的知識...伺服器
- web攻擊方式Web
- web的攻擊技術Web
- 如何防止伺服器被惡意網路攻擊?伺服器
- 【知識分享】怎麼防止伺服器被攻擊伺服器
- 如何檢視網站伺服器被攻擊的痕跡網站伺服器
- 香港雲伺服器網站被攻擊的解決方法伺服器網站
- 伺服器被攻擊瞭如何做防護措施?伺服器
- 【知識分享】伺服器被攻擊後如何補救伺服器
- WEB常見的攻擊方式Web
- 新型TLS攻擊可對安全站點發起跨站指令碼攻擊,至少影響140萬臺web伺服器TLS指令碼Web伺服器
- 密碼學系列之:碰撞抵禦和碰撞攻擊collision attack密碼學
- 網路攻擊中主動攻擊和被動攻擊有什麼區別?
- 伺服器被攻擊的不同表現型別以及應對策略伺服器型別
- 阿里雲ECS被攻擊阿里
- WEB攻擊與防禦Web
- 伺服器攻擊日常伺服器
- ROVNIX攻擊平臺分析 -利用WordPress平臺傳播的多外掛攻擊平臺
- Web攻擊流行“雲安全”技術被濫用機率將增Web
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 什麼是CC攻擊?網站被CC攻擊怎麼辦?網站
- JavaScript Web 應用程式和伺服器易受 ReDoS 攻擊JavaScriptWeb伺服器
- 【知識分享】伺服器遭受攻擊的方式,如何抵禦攻擊?伺服器
- 常見web攻擊型別有哪些?如何預防及防範web攻擊?Web型別
- WEB三大攻擊之—SQL隱碼攻擊與防護WebSQL
- 網站被攻擊如何防禦網站
- web常見攻擊總結Web