Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

网络安全 | 可能绕过HTTPS加密保护

$
0
0
网络安全 | 可能绕过HTTPS加密保护

一点号Testin实验室7小时前

黑客可以在最依赖HTTPs的地方――Wi-Fi热点处发动攻击。

HTTPS加密能够提供一种关键性的保护,它让攻击者在远程监控终端用户的流量时,无法看见用户访问过的网站的地址。现在,研究人员设计出了一种新的攻击方法,可以打破这种保护。

攻击者可以在各种类型的网络中发动这种攻击,甚至是在公共Wi-Fi中也可以,而这可以说是最依赖HTTPS的一种网络。该攻击主要利用了一种名为WPAD(Web Proxy Autodisovery)的特性,这种特性会将某些浏览器请求暴露给攻击者,然后攻击者就可以看到目标用户访问过的每个网站的URL了。这种利用几乎对所有的浏览器和操作系统都有不利的影响。即使局域网和Wi-Fi不可信(例如公共酒店、咖啡馆、机场、餐厅的公共Wi-Fi),人们还是依赖HTTPS来保证他们的通信安全。我们已经向人们展示过,在启用WPAD时,HTTPS无法提供安全保障,因此,很多人在通过非可信网络进行浏览时,事实上就已经暴露在这种攻击面前了。

除了URL,其他的HTTPs流量也会受到攻击的影响,并且在某些情况下, URL的暴露就已经可以对安全造成致命的打击了。例如,OpenID标准会使用URL来验证用户和服务。另一个例子是谷歌和Dropbox提供的文件共享服务,它会向用户发送一个包含URL的安全令牌,继而进行工作。许多密码重置机制也同样依赖于基于URL的安全令牌。攻击者只要在上述的任何一种情况下获得这些URL,就能进入目标用户的帐户、获取他们的。

最可能的攻击方式是,当一台电脑尝试使用动态主机配置协议连接到网络时,攻击者会发送一个恶意响应。攻击者可以使用DHCP来帮助建立一个代理服务器,当浏览器试图访问特定的URL时,使用的就将是这个代理服务器。这种攻击的原理是,强制浏览器获得PAC (proxy autoconfig)文件,该文件在遇到指定类型的URL时,会触发代理的运作。由于在HTTPS连接建立起来之前,恶意的PAC代码就已经接收到了请求,因此攻击者可以获取完整的明文URL。

第二种攻击方式是,利用恶意软件修改目标设备的网络设置,进而使用一个代理。在上述的两种情况下,受攻击的目标都不会看到任何危险的信号,浏览器地址栏也仍然显示出HTTPS连接是有效的。不同之处在于,在第一个场景中,计算机的网络选项(例如Mac的网络设置中的代理选项卡)将显示它使用了自动配置的代理,但没有更详细的说明。而在第二个方法中,计算机的网络配置中不仅会显示使用了自动配置的代理,还将显示攻击者的URL。


php?url=0FZKas4P8n" alt="网络安全 | 可能绕过HTTPS加密保护" />
网络安全 | 可能绕过HTTPS加密保护
网络安全 | 可能绕过HTTPS加密保护

这并不是唯一一种利用WPAD和PAC发动的攻击。今年4月,研究人员记录到,一种名为BlackMoon的银行木马在受感染的计算机上安装PAC文件,当用户访问目标网站时,会将其浏览器重定向到网络钓鱼页面。文件中还包含一个javascript函数,BlackMoon利用它来截获用户的凭证,并且故意使目标银行网站变得模糊。这种PAC攻击利用的是在1999年起草的WPAD规范内的漏洞,这意味着操作系统或浏览器供应商很难修复这种漏洞。不过,微软的Edge和Internet Explorer 11在很大程度上可以避开这些漏洞,因为它们调用了FindProxyForUrl函数,缩短了URL的长度,只留下主机名,这和包含了身份验证令牌或凭证的完整URL是完全不同的。这样做的话, 可以将暴露协议数据的可能性降到最低(仅含主机名), 因为有了DNS查询,主机名早已不是秘密,因此我们认为这不太敏感。用户也可以采取措施来禁用WPAD,但在连接到某个给定的网络时,这些解决办法是没有效果的。

关于Testin云测

Testin云测是目前全球最大的移动应用、游戏云测试服务平台,为移动互联网+开发者提供必需的移动应用质量和安全保证,目前已经持续服务超过80万开发者,为超过200万个移动应用进行了超过1.5亿次的测试,与ARM、Intel、Imagination、MediaTAC、Google、IBM、微软、阿里、百度、腾讯、360、小米以及全球众多的移动互联网生态企业建立了良好的合作与沟通关系,累计获得IDG、IDG-Accel、高榕、海银、CEL总共超过8,000万美元的投资,先后获得清科2014年及2015年中国最具投资价值企业50强,德勤2015年及2016年中国高科技高成长50强,Red Herring红鲱鱼2014年亚洲100强和2015年全球100强。


Viewing all articles
Browse latest Browse all 12749

Trending Articles