HTTPS加密连接不再安全 新攻击可轻松绕过

HTTP,即超文本传输协议,是互联网上应用最为广泛的一种网络协议。然而HTTP协议以明文方式发送内容,不提供任何方式的数据加密,这导致这种方式特别不安全。对此便衍生出能够为数据传输提供安全的HTTPS(超文本加密传输协议),HTTPS一度成为各大网站推崇的主流加密协议。

HTTPS加密连接也不再安全

不过,现在研究人员却发现了一种攻击方法能够绕过HTTPS加密连接,进而发现用户请求的网址,但加密流量本身不会受到影响。更可怕的是,该攻击对所有浏览器和操作系统均有效。

据透露,攻击者可以在各种类型的网络中发动这种攻击,甚至是在公共Wi-Fi中也可以。该攻击主要利用了一种名为WPAD(Web Proxy Autodisovery)的特性,这种特性会将某些浏览器请求暴露给攻击者,然后攻击者就可以看到目标用户访问过的每个网站的URL了。

研究人员称已发现可绕过HTTPS加密连接的攻击手法

研究人员表示,将于下个月在拉斯维加斯的Black Hat(黑帽)安全大会上演示该攻击手法。其中最有可能的攻击方法是当用户使用DHCP协议连接一个网络,DHCP能被用于设置一个代理服务器帮助浏览器访问特定的网址,攻击者可以强迫浏览器获取一个proxy autoconfig (PAC)文件,指定特定网址触发使用代理。恶意的PAC代码在HTTPS连接建立前获取到URL请求,攻击者因而能掌握用户访问的明文URL。

据悉除了URL,其他的HTTPs流量也会受到攻击的影响,并且在某些情况下, URL的暴露就已经可以对安全造成致命的打击了。例如,OpenID标准会使用URL来验证用户和服务。另一个例子是谷歌和Dropbox提供的文件共享服务,它会向用户发送一个包含URL的安全令牌,继而进行工作。许多密码重置机制也同样依赖于基于URL的安全令牌。攻击者只要在上述的任何一种情况下获得这些URL,就能进入目标用户的帐户、获取他们的数据。

原文发布于微信公众号 - 架构师之旅(TravelWithFrame)

原文发表时间:2016-07-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张戈的专栏

WordPress集成SendCloud邮件代发,规避SMTP泄漏网站主机真实IP的风险

还是几个月前,中国博客联盟的晓风依然博主 QQ 联系我,说发现 WordPress 评论回复邮件存在一个巨大的风险:WordPress 评论回复邮件,不管是使用...

9638
来自专栏Python与爬虫

黑客已经盗了15,945,221.72 USD

myetherwallet 昨日发推特说,他们的DNS 被污染,导致部分用户进入到了假的 网站,从而导致ETH被盗

1041
来自专栏FreeBuf

绕过WiFi验证:四招教你免费使用WiFi

如今越来越多的商场、咖啡店、饭店等公共场所都提供了开放的WiFi网络。不过有时即便我们的设备连上了WiFi,当随便打开一个网页就会立即弹出身份验证页面……是不是...

6867
来自专栏魏艾斯博客www.vpsss.net

魏艾斯博客重装 CentOS 系统和添加 Let’s Encrypt 免费 SSL 证书过程全记录

2853
来自专栏Python爬虫与数据挖掘

手把手教你如何安装水晶易表——靠谱的安装教程

关于水晶易表的介绍在之前的文章就有提及过,感兴趣的小伙伴可以戳这篇文章:关于水晶易表的简介及其安装初识,在此不再进行赘述。今天给大家分享一下水晶易表的安装教程,...

1434
来自专栏Python爬虫与数据挖掘

手把手教你如何安装水晶易表——靠谱的安装教程

关于水晶易表的介绍在之前的文章就有提及过,感兴趣的小伙伴可以戳这篇文章:关于水晶易表的简介及其安装初识,在此不再进行赘述。今天给大家分享一下水晶易表的安装教程,...

1645
来自专栏FreeBuf

针对近期“博全球眼球的OAuth漏洞”的分析与防范建议

据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redire...

21510
来自专栏腾讯云TStack专栏

consul的service mesh功能初体验

|作者简介 ? consul之前一直被当成一个服务发现、分布式KV服务、服务健康检查服务等,但此前发布的1.2版本,宣称其实现了Service Mesh方案。...

3521
来自专栏SpringBoot 核心技术

OAuth 2和JWT - 如何设计安全的API?

6162
来自专栏FreeBuf

利用第三方软件0day漏洞加载和执行的木马分析

近期腾讯反病毒实验室捕获了一批针对性攻击的高级木马,该木马使用近期热门的时事话题做诱饵,对特殊人群做持续针对性攻击,目前腾讯电脑管家已经能够准确拦截和查杀该木马...

2248

扫码关注云+社区

领取腾讯云代金券