HTTPS和SSL協(xié)議存在安全漏洞
HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)協(xié)議是Web安全和可信電子商務(wù)的核心,但Web應(yīng)用安全專家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大會(huì)上宣布,Web瀏覽器的基礎(chǔ)架構(gòu)中存在24個(gè)危險(xiǎn)程度不同的安全漏洞。這些漏洞基本上使HTTPS和SSL能夠提供的瀏覽器保護(hù)蕩然無(wú)存。
HTTPS對(duì)HTTP協(xié)議進(jìn)行了加密,以保護(hù)用戶的頁(yè)面請(qǐng)求和Web服務(wù)器返回的頁(yè)面不被竊聽。SSL及后來(lái)的TLS協(xié)議允許HTTPS利用公鑰加密驗(yàn)證Web客戶端和服務(wù)器。
Hansen和Sokol指出,攻擊者要利用這些漏洞,首先需要發(fā)起中間人攻擊。攻擊者一旦劫持了瀏覽器會(huì)話,就可以利用這些漏洞中的大多數(shù)對(duì)會(huì)話進(jìn)行重定向,從而竊取用戶憑據(jù)或者從遠(yuǎn)程秘密執(zhí)行代碼。
然而,兩位研究人員強(qiáng)調(diào),中間人攻擊并不是攻擊者的終極目的。
Hansen指出,“利用中間人攻擊,攻擊者還可以實(shí)現(xiàn)許多更加容易的攻擊。你不得不‘執(zhí)行’中間人攻擊,并被迫成為一個(gè)十分堅(jiān)定的攻擊者......然而,這還不是最壞的情況。對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō),這些攻擊簡(jiǎn)直是毀滅性的災(zāi)難。”
實(shí)際上,Hansen懷疑HTTPS和SSL/TLS中可能有數(shù)百個(gè)安全問(wèn)題有待發(fā)現(xiàn)。他說(shuō),由于要準(zhǔn)備這次黑帽大會(huì)的演講,他們還沒(méi)來(lái)得及對(duì)此進(jìn)行深入研究。
中間人攻擊并不是什么新技術(shù)。由于各種原因,攻擊者可以設(shè)法在一個(gè)瀏覽器會(huì)話過(guò)程中的多個(gè)時(shí)刻加入會(huì)話。一些攻擊者能夠使用包括MD5沖突在內(nèi)的各種方法偽造或竊取SSL證書。由于在會(huì)話到達(dá)認(rèn)證協(xié)商的加密端口之前,SSL協(xié)議是采用明文傳輸DNS和HTTP請(qǐng)求的,所以攻擊者還可以在這些步驟中的任一時(shí)刻劫持會(huì)話。另外,攻擊者還能夠利用中間人攻擊修改HTTPS鏈接,將用戶重定向到惡意HTTP網(wǎng)站。
對(duì)任何攻擊者來(lái)說(shuō),重復(fù)Hansen和Sokol所說(shuō)的工作并不容易,它需要耐心和資源。兩位專家強(qiáng)調(diào),中間人攻擊得逞之后,攻擊者可能發(fā)動(dòng)兩種高度危險(xiǎn)的攻擊。
第一種是cookie篡改(cookie poisoning)攻擊,即攻擊者利用瀏覽器在用戶會(huì)話期間不更改cookie的情況,將同一個(gè)cookie反復(fù)標(biāo)記為有效狀態(tài)。如果攻擊者能夠提前劫持來(lái)自網(wǎng)站的cookie,然后再將其植入用戶的瀏覽器中,則當(dāng)用戶的認(rèn)證信息到達(dá)HTTPS站點(diǎn)時(shí),攻擊者就能夠獲得用戶憑據(jù)并以用戶身份登錄。
第二種是重定向攻擊。許多銀行網(wǎng)站會(huì)將用戶的會(huì)話從一個(gè)HTTP站點(diǎn)重定向到一個(gè)HTTPS站點(diǎn),該會(huì)話通常是在另一個(gè)瀏覽器選項(xiàng)卡中打開,而不是在一個(gè)新的瀏覽器窗口中打開。由于攻擊者仍然控制著舊的選項(xiàng)卡,所以攻擊者可以在URL中注入Javascript腳本并修改新選項(xiàng)卡的行為。受攻擊者可能會(huì)下載可執(zhí)行文件,或者被重定向到一個(gè)惡意登錄頁(yè)面。
Hansen和Sokol解釋說(shuō),利用針對(duì)SSL Web瀏覽器會(huì)話的攻擊,攻擊者可以觀察和計(jì)算用戶在一個(gè)網(wǎng)站的特定頁(yè)面上停留的時(shí)間。這可能會(huì)泄漏處理數(shù)據(jù)的頁(yè)面。此時(shí),攻擊者可以在該網(wǎng)頁(yè)上采用相關(guān)技術(shù)強(qiáng)迫用戶退出登錄并重新進(jìn)行身份認(rèn)證,從而獲得用戶憑據(jù)。
Hansen指出,“有必要對(duì)SSL進(jìn)行修改,比如添加填充和抖動(dòng)代碼”。他解釋說(shuō),通過(guò)在Web請(qǐng)求中添加無(wú)意義的編碼,可以延長(zhǎng)攻擊者完成攻擊的時(shí)間,也許足以阻止攻擊者采取進(jìn)一步的行動(dòng)。他說(shuō),“要避免此類攻擊,必須采取適當(dāng)?shù)倪x項(xiàng)卡隔離和沙箱技術(shù)。安全專家也許能夠避免此類情況的發(fā)生,但普通用戶卻不得不面臨這種威脅。我們真的很難阻止這種攻擊,我不知道有沒(méi)有簡(jiǎn)單的辦法可以解決這個(gè)問(wèn)題。”
【編輯推薦】
