黑帽大會:HTTPS和SSL協議存在安全漏洞
HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)協議是Web安全和可信電子商務的核心,但Web應用安全專家Robert “RSnake” Hansen和Josh Sokol在昨天的黑帽大會上宣佈,Web瀏覽器的基礎架構中存在24個危險程度不同的安全漏洞。這些漏洞基本上使HTTPS和SSL能夠提供的瀏覽器保護蕩然無存。
HTTPS對HTTP協議進行了加密,以保護使用者的頁面請求和Web伺服器返回的頁面不被竊聽。SSL及後來的TLS協議允許HTTPS利用公鑰加密驗證Web客戶端和伺服器。
Hansen和Sokol指出,攻擊者要利用這些漏洞,首先需要發起中間人攻擊。攻擊者一旦劫持了瀏覽器會話,就可以利用這些漏洞中的大多數對會話進行重定向,從而竊取使用者憑據或者從遠端祕密執行程式碼。
然而,兩位研究人員強調,中間人攻擊並不是攻擊者的終極目的。
Hansen指出,“利用中間人攻擊,攻擊者還可以實現許多更加容易的攻擊。你不得不‘執行’中間人攻擊,並被迫成為一個十分堅定的攻擊者……然而,這還不是最壞的情況。對於電子商務應用來說,這些攻擊簡直是毀滅性的災難。”
實際上,Hansen懷疑HTTPS和SSL/TLS中可能有數百個安全問題有待發現。他說,由於要準備這次黑帽大會的演講,他們還沒來得及對此進行深入研究。
中間人攻擊並不是什麼新技術。由於各種原因,攻擊者可以設法在一個瀏覽器會話過程中的多個時刻加入會話。一些攻擊者能夠使用包括MD5衝突在內的各種方法偽造或竊取SSL證照。由於在會話到達認證協商的加密埠之前,SSL協議是採用明文傳輸DNS和HTTP請求的,所以攻擊者還可以在這些步驟中的任一時刻劫持會話。另外,攻擊者還能夠利用中間人攻擊修改HTTPS連結,將使用者重定向到惡意HTTP網站。
對任何攻擊者來說,重複Hansen和Sokol所說的工作並不容易,它需要耐心和資源。兩位專家強調,中間人攻擊得逞之後,攻擊者可能發動兩種高度危險的攻擊。
第一種是cookie篡改(cookie poisoning)攻擊,即攻擊者利用瀏覽器在使用者會話期間不更改cookie的情況,將同一個cookie反覆標記為有效狀態。如果攻擊者能夠提前劫持來自網站的cookie,然後再將其植入使用者的瀏覽器中,則當使用者的認證資訊到達HTTPS站點時,攻擊者就能夠獲得使用者憑據並以使用者身份登入。
第二種是重定向攻擊。許多銀行網站會將使用者的會話從一個HTTP站點重定向到一個HTTPS站點,該會話通常是在另一個瀏覽器選項卡中開啟,而不是在一個新的瀏覽器視窗中開啟。由於攻擊者仍然控制著舊的選項卡,所以攻擊者可以在URL中注入Javascript指令碼並修改新選項卡的行為。受攻擊者可能會下載可執行檔案,或者被重定向到一個惡意登入頁面。
Hansen和Sokol解釋說,利用針對SSL Web瀏覽器會話的攻擊,攻擊者可以觀察和計算使用者在一個網站的特定頁面上停留的時間。這可能會洩漏處理資料的頁面。此時,攻擊者可以在該網頁上採用相關技術強迫使用者退出登入並重新進行身份認證,從而獲得使用者憑據。
Hansen指出,“有必要對SSL進行修改,比如新增填充和抖動程式碼”。他解釋說,通過在Web請求中新增無意義的編碼,可以延長攻擊者完成攻擊的時間,也許足以阻止攻擊者採取進一步的行動。他說,“要避免此類攻擊,必須採取適當的選項卡隔離和沙箱技術。安全專家也許能夠避免此類情況的發生,但普通使用者卻不得不面臨這種威脅。我們真的很難阻止這種攻擊,我不知道有沒有簡單的辦法可以解決這個問題。”
相關文章
- 聊聊HTTPS和SSL/TLS協議HTTPTLS協議
- HTTPS的SSL協議速度慢嗎❓HTTP協議
- 淺談 HTTPS 和 SSL/TLS 協議的背景與基礎HTTPTLS協議
- HTTP和HTTPS協議HTTP協議
- https與TLS/SSL 握手協議、record protocol簡介HTTPTLS協議Protocol
- HTTPS協議詳解(四):TLS/SSL握手過程HTTP協議TLS
- HTTP協議和HTTPS協議的異同點?HTTP協議
- HTTPS 協議HTTP協議
- 黑帽大會:十大最具威脅的黑客攻擊方式黑客
- SSL與TLS協議TLS協議
- 全球黑客盛會:2008年黑帽大會要聞摘要黑客
- PYTHON 黑帽程式設計 1.5 使用 WIRESHARK 練習網路協議分析Python程式設計協議
- 蘋果安全主管將出席黑帽大會 詳解 iOS 13 和 macOS 安全性蘋果iOSMac
- 配置https協議HTTP協議
- 理解 HTTPS 協議HTTP協議
- 黑帽大會:蘋果網路伺服器比微軟易入侵蘋果伺服器微軟
- 什麼是HTTPS協議?為什麼要用HTTPS協議?HTTP協議
- [SSL/TLS] SSL/TLS協議綜合總結TLS協議
- 關於TLS/SSL協議TLS協議
- SSL/TLS協議詳解TLS協議
- Java呼叫使用SSL/HTTPS協議來傳輸的axis webservice服務JavaHTTP協議Web
- HTTPS協議詳解HTTP協議
- https協議的理解HTTP協議
- Http與Https協議HTTP協議
- Flex使用Https協議FlexHTTP協議
- SSL/TLS協議安全系列:SSL/TLS概述TLS協議
- 安全協議:SSL、TSL、SSH概述協議
- 黑帽大會:SCADA系統安全就像一顆“定時炸彈”
- 協議森林17 我和你的悄悄話 (SSL/TLS協議)協議TLS
- 大型網站的HTTPS實踐(一)——HTTPS協議和原理網站HTTP協議
- 大型網站的 HTTPS 實踐(一): HTTPS 協議和原理網站HTTP協議
- 大型網站的 HTTPS 實踐(一)—— HTTPS 協議和原理網站HTTP協議
- opencv 黑帽操作OpenCV
- 案例:配置apache和nginx的SSL加密傳輸協議ApacheNginx加密協議
- 深入理解HTTPS協議HTTP協議
- 國密SSL協議與標準TLS協議的區別協議TLS
- 關於SSL協議未開啟協議
- 簡述HTTP和HTTPS協議的不同之處HTTP協議