黑客說HTTPS不再安全,一種新攻擊可成功繞過,是噱頭還是實錘?
都說HTTPS是HTTP的安全版,近兩年各大網站紛紛採用更安全的HTTPS協議。
可是最近,研究人員卻發現了一種新型的攻擊方式。
該方式能夠繞過HTTPS加密連接,進而發現用戶請求的網址,但加密流量本身不會受到影響。更可怕的是,該攻擊對所有瀏覽器和操作系統均有效。
新聞鏈接:HTTPS加密連接不再安全 新攻擊可輕鬆繞過
這個攻擊方式即將在20號在拉斯維加斯的Black Hat(黑帽)安全大會上公布
求大神分析該攻擊的可行性,是噱頭還是實錘?
HTTPS真的不再安全了嗎?
WPAD的話,是有可能的。
但是你是否用,以及用哪個WPAD,只有你自己以及你的區域網管理者(通過組策略、本機特定軟體、DHCP)來設置,瀏覽器的網頁本身沒辦法修改WPAD設置。
所以只要你自己電腦上沒有軟體搗亂,你的區域網內沒有人部署這個,就不會有問題。
──
到家了,補充一個玩剩下的東西,來告訴你們亂蹭別人的網路是多麼的危險。
知識準備:
1 DHCP有能力推送給你的除了IP地址和路由外,還有DNS地址和WPAD。
2 DNS功能是:你給他主機名字(比如http://www.google.com),它給你這個主機的一個IP。
3 WPAD的功能是:執行一段預製的代碼(JS,功能受限),並返回一個代理服務器的地址,之後瀏覽器會使用這個代理服務器來訪問原始請求。
4 部分網站會在URL上包含了重要信息,而我們知道這個格式,但是需要截獲這個URL包含的參數。
先準備一個支持HTTP CONNECT的代理,是否是你自己的沒關係,只要你確定它能用就行。比方說是1.2.3.4:8080。
WPAD裡面的偽代碼:
先解析這個URL,看看是否是攻擊對象,如果不是,直接返回PROXY 1.2.3.4:8080。
如果是:抽取出需要的信息(比如ABCDEFG),拼裝成一個字元串ABCDEFG.fuck.hacker,返回PROXY ABCDEFG.fuck.hacker:8080。
這時候瀏覽器就得到命令,要去用這個ABCDEFG.fuck.hacker做代理服務器。然而它需要先解析出它的IP,這時候我們的DNS就上工了,把這個特定格式的主機,返回1.2.3.4,並記錄下這個主機的名字。機密就在用戶不知道的情況下被DNS記錄到了。
只是能監聽到請求地址而已。
請求地址就是網址。多數情況下網址都不帶有完整的授權信息,個別情況有(如密碼重置郵件里的鏈接)。
沒有碰到HTTPS的根基,談不上是多大危害。
收集用戶訪問地址的程序多了去了,如瀏覽器本身(Chrome、Firefox等),如安全軟體(電腦管家、360等)。
運營商劫持也是監聽訪問地址的,如百度首頁、導航網站首頁、電商網站首頁,大多數用戶打開這些網站首頁都會自動給你加個小尾巴,那個就是被跳轉到了人家的推廣地址。
總的來說,這個危害範圍小,沒有動到HTTPS核心,不過也是漏洞,相信一公開馬上就有補丁跟上。
外行表示只知道中間人攻擊。
平時會掛上fiddler來解析手機的https鏈接做調試。。。
HTTPS 當然不是絕對安全的。
看這篇專欄文章,HTTPS協議降級攻擊原理 https://zhuanlan.zhihu.com/p/22917510 。
需要說明的是 HTTPS 是相對於 HTTP 而言的安全協議。
「HTTPS真的不再安全了嗎?」
HTTPS不是一個完美無缺的系統,只不過我們發現它都漏更晚而已(相比於HTTP)
首先是推薦查看【黑客說HTTPS不再安全,一種新攻擊可成功繞過,是噱頭還是實錘?】崔巍:WPAD的話,是有可能的。但是你是否用,以及用哪個WPAD,只有你自己以及… http://www.zhihu.com/question/49667663/answer/117163450 (分享自知乎網)
(正常途徑是怎麼推薦別人的回答的(ˉ―ˉ )
然後看圖:
剛剛截圖的,題主是7月新聞的截圖,這是8月的新聞…(人家都說了8月會演示你就搜索一下嘛…另外圖中廣告就是不開https的後果解決辦法圖中都說了,都很簡單。而且我查看了一下自己的電腦(正版win10,快速設置),那個選項默認好像是不開的?也就是大部分的(至少是大部分win10)是不受影響的?而且換個瀏覽器可以解決的事情…
只是有伺服器地址泄露風險,標題略誇張。符合標準的瀏覽器只會使用CONNECT方法連接HTTPS代理伺服器。這種情況下解密TLS載荷數據仍然需要中間人攻擊。
我只知道一種中間人劫持
基於偽造證書的
比如我現在有主機ABC
正常情況 AC直接通信
這時我使用B坐中間人
讓C通過B與A通信
C先向B發出TCP鏈接 然後發起SSL請求
然後B與A進行TCP鏈接發送SSL請求
這時A返回一個數字證書
B通過偽造 製造一個極其相似的證書發給C
C瀏覽器進行驗證,發現各種一致,但是並非由可信機構頒發
大部分我相信都會點點擊繼續的。
這時B就可以讀取並解密SSL數據了。
推薦閱讀: