一种新攻击方法能绕过 HTTPS 保护

研究人员发现了一种攻击方法能绕过HTTPS保护,发现用户请求的网址,但加密流量本身不会受到影响。这一攻击对所有浏览器和操作系统都有效。研究人员将于下个月在拉斯维加斯的Black Hat安全会议上演示这一攻击。攻击能被任何的网络运营者执行,比如提供开放WIFI服务的运营者。它滥用了名叫Web Proxy Autodisovery(WPAD)的特性。其中最有可能的攻击方法是当用户使用DHCP协议连接一个网络,DHCP能被用于设置一个代理服务器帮助浏览器访问特定的网址,攻击者可以强迫浏览器获取一个proxy autoconfig (PAC)文件,指定特定网址触发使用代理。恶意的PAC代码在HTTPS连接建立前获取到URL请求,攻击者因而能掌握用户访问的明文URL。

文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-07-30 10:40:41

一种新攻击方法能绕过 HTTPS 保护的相关文章

HTTPS加密连接不再安全 新攻击可轻松绕过

HTTP,即超文本传输协议,是互联网上应用最为广泛的一种网络协议.然而HTTP协议以明文方式发送内容,不提供任何方式的数据加密,这导致这种方式特别不安全.对此便衍生出能够为数据传输提供安全的HTTPS(超文本加密传输协议),HTTPS一度成为各大网站推崇的主流加密协议. HTTPS加密连接也不再安全 不过,现在研究人员却发现了一种攻击方法能够绕过HTTPS加密连接,进而发现用户请求的网址,但加密流量本身不会受到影响.更可怕的是,该攻击对所有浏览器和操作系统均有效. 据透露,攻击者可以在各种类型的

新攻击方法去匿名化Tor隐藏服务

MIT的计算机科学家Albert Kwon和卡塔尔大学的Mashael AlSabah等计划在Usenix安全研讨会上演讲论文<Circuit Fingerprinting Attacks: Passive Deanonymization of Tor Hidden Services>(PDF),他们设计出一种新的去匿名化攻击方法,能以88%的正确率识别托管Tor隐藏服务的主机.研究人员称, 新的攻击方法需要攻击者的电脑充当Tor回路的guard节点.guard节点是随机挑选出来的,如果攻击者

一种新的攻击方法——Java Web表达式注入

0×00 引言在2014年6月18日@终极修炼师曾发布这样一条微博:498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 477px; height: 446px" border="0" alt="新攻击方法--Java Web Expression Language Injection" src="http://s5.51cto.

网络钓鱼揭秘:钓鱼者的三种典型攻击手段

在大多数人的印象中,网络钓鱼就是那些欺骗人们提供银行账户或身份信息的假冒电子邮件.然而,据蜜网项目组&蜜网研究联盟(Honeynet Project & Research Alliance)最近发表的研究报告显示,网络钓鱼要比这更复杂和更可怕. 该联盟在这份最新的研究报告中警告说,网络钓鱼者正在使用恶意的网络服务器.端口重新定向和成功率相当高的蜜网诱骗用户上钩.他们的努力比人们最初想象的更周密而且更有组织性.在许多情况下,他们与其他的钓鱼团伙协调作业并且同时采用多种手段. 蜜网研究人员Ar

Windows2008快速创建新用户方法_windows2008

默认安装Windows Server 2008是采用系统默认的Administrator系统超级管理员帐户.平时使用系统超级管理员帐户容易遭受病毒木马的攻击,最重要的是无法充分发挥Windows 2008新的安全功能UAC 用户帐户管理.由于Win2008采用全新的用户界面,类似Windows Vista创建新用户的方法有些烦琐.Vista地带告诉你一种新的方法创建系统管理员.   在Windows Server 2008开始菜单中输入 cmd 打开命令提示符,我们输入net user <用户名

一种新的攻击方式:使用Outlook 表单进行横向渗透和常驻

本文讲的是一种新的攻击方式:使用Outlook 表单进行横向渗透和常驻, 背景 最近我们针对CrowdStrike服务进行例行调查,发现了一种攻击方法,其主要用于横向渗透和系统常驻,而且是以前我们没有看到过的.这种攻击利用Microsoft Outlook中的自定义表单(而不是宏),只需打开或预览电子邮件就会允许Visual Basic代码在系统上执行. 有关Outlook表单攻击的详细解释可以在SensePost中找到.下面的文章详细介绍了我们对使用这种攻击的分析,包括攻击过程以及检测和预防方

高手整理的HTTPS攻击方法 很常见

背景 研究常见的https攻击方法 Beast crime breach,并针对https的特性提出一些安全部署https的建议. 针对于HTTPS的攻击,多存在于中间人攻击的环境中,主要是针对于HTTPS所使用的压缩算法和CBC加密模式,进行side-channel-attack.这几类攻击的前置条件都比较苛刻,且都需要受害主机提交很多次请求来收集破译关键数据的足够信息. 常见的攻击方法,主要有,BEAST Lucky-13 RC4 Biases CRIME TIME BREACH等.主要对其

绕过Office“保护视图”进行钓鱼攻击的新姿势

本文讲的是绕过Office"保护视图"进行钓鱼攻击的新姿势,Microsoft Office具有称作"保护视图"的安全功能.此功能会以受限的方式打开来自互联网的Office文档.这种方法是通过限制允许执行的Office组件来防止自动利用诸如OLE,Flash和ActiveX之类的东西.在2016年,Microsoft通过CVE-2016-4117 修复了Excel附件文件中的受保护视图中的错误.@HaifeiLi在这方面做了一些很好的研究.MWR实验室还有一个关于了

金融安全资讯精选 2017年第十三期 百慕大离岸律师事务所遭黑客攻击,Google 发布HTTPS 普及度报告,Bad Rabbit攻击预警和安全建议,PCI SSC 发布新的 3DS 支付标准

[金融安全动态] 百慕大离岸律师事务所 Appleby 近期遭黑客攻击 点击查看原文   点评:与此前声名大噪的"巴拿马文件"一样,"百慕大"事件的目标在于掀起新一轮对全球财务.企业以及税务事务的大规模审查.从这次事件可以见到,其实对于越大型的公司或个人来说,数据泄露所最担心的问题并非是经济损失,公司名誉和品牌的杀伤力,才是致命的.   Google 发布HTTPS 普及度报告 点击查看原文   概要:一项Google发布出来的数据:64% Android设备上,7