HTTP,即超文本傳輸協(xié)議,是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。然而HTTP協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密,這導(dǎo)致這種方式特別不安全。對此便衍生出能夠為數(shù)據(jù)傳輸提供安全的HTTPS(超文本加密傳輸協(xié)議),HTTPS一度成為各大網(wǎng)站推崇的主流加密協(xié)議。
HTTPS加密連接也不再安全
不過,現(xiàn)在研究人員卻發(fā)現(xiàn)了一種攻擊方法能夠繞過HTTPS加密連接,進(jìn)而發(fā)現(xiàn)用戶請求的網(wǎng)址,但加密流量本身不會受到影響。更可怕的是,該攻擊對所有瀏覽器和操作系統(tǒng)均有效。
據(jù)透露,攻擊者可以在各種類型的網(wǎng)絡(luò)中發(fā)動這種攻擊,甚至是在公共Wi-Fi中也可以。該攻擊主要利用了一種名為WPAD(Web Proxy Autodisovery)的特性,這種特性會將某些瀏覽器請求暴露給攻擊者,然后攻擊者就可以看到目標(biāo)用戶訪問過的每個網(wǎng)站的URL了。
研究人員稱已發(fā)現(xiàn)可繞過HTTPS加密連接的攻擊手法
研究人員表示,將于下個月在拉斯維加斯的Black Hat(黑帽)安全大會上演示該攻擊手法。其中最有可能的攻擊方法是當(dāng)用戶使用DHCP協(xié)議連接一個網(wǎng)絡(luò),DHCP能被用于設(shè)置一個代理服務(wù)器幫助瀏覽器訪問特定的網(wǎng)址,攻擊者可以強(qiáng)迫瀏覽器獲取一個proxy autoconfig (PAC)文件,指定特定網(wǎng)址觸發(fā)使用代理。惡意的PAC代碼在HTTPS連接建立前獲取到URL請求,攻擊者因而能掌握用戶訪問的明文URL。
據(jù)悉除了URL,其他的HTTPs流量也會受到攻擊的影響,并且在某些情況下, URL的暴露就已經(jīng)可以對安全造成致命的打擊了。例如,OpenID標(biāo)準(zhǔn)會使用URL來驗證用戶和服務(wù)。另一個例子是谷歌和Dropbox提供的文件共享服務(wù),它會向用戶發(fā)送一個包含URL的安全令牌,繼而進(jìn)行工作。許多密碼重置機(jī)制也同樣依賴于基于URL的安全令牌。攻擊者只要在上述的任何一種情況下獲得這些URL,就能進(jìn)入目標(biāo)用戶的帳戶、獲取他們的數(shù)據(jù)。