HTTPS和SSL協議存在安全漏洞
HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)協議是Web安全和可信電子商務的核心,但Web應用安全專家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大會上宣布,Web瀏覽器的基礎架構中存在24個危險程度不同的安全漏洞。這些漏洞基本上使HTTPS和SSL能夠提供的瀏覽器保護蕩然無存。
HTTPS對HTTP協議進行了加密,以保護用戶的頁面請求和Web服務器返回的頁面不被竊聽。SSL及后來的TLS協議允許HTTPS利用公鑰加密驗證Web客戶端和服務器。
Hansen和Sokol指出,攻擊者要利用這些漏洞,首先需要發起中間人攻擊。攻擊者一旦劫持了瀏覽器會話,就可以利用這些漏洞中的大多數對會話進行重定向,從而竊取用戶憑據或者從遠程秘密執行代碼。
然而,兩位研究人員強調,中間人攻擊并不是攻擊者的終極目的。
Hansen指出,“利用中間人攻擊,攻擊者還可以實現許多更加容易的攻擊。你不得不‘執行’中間人攻擊,并被迫成為一個十分堅定的攻擊者......然而,這還不是最壞的情況。對于電子商務應用來說,這些攻擊簡直是毀滅性的災難。”
實際上,Hansen懷疑HTTPS和SSL/TLS中可能有數百個安全問題有待發現。他說,由于要準備這次黑帽大會的演講,他們還沒來得及對此進行深入研究。
中間人攻擊并不是什么新技術。由于各種原因,攻擊者可以設法在一個瀏覽器會話過程中的多個時刻加入會話。一些攻擊者能夠使用包括MD5沖突在內的各種方法偽造或竊取SSL證書。由于在會話到達認證協商的加密端口之前,SSL協議是采用明文傳輸DNS和HTTP請求的,所以攻擊者還可以在這些步驟中的任一時刻劫持會話。另外,攻擊者還能夠利用中間人攻擊修改HTTPS鏈接,將用戶重定向到惡意HTTP網站。
對任何攻擊者來說,重復Hansen和Sokol所說的工作并不容易,它需要耐心和資源。兩位專家強調,中間人攻擊得逞之后,攻擊者可能發動兩種高度危險的攻擊。
第一種是cookie篡改(cookie poisoning)攻擊,即攻擊者利用瀏覽器在用戶會話期間不更改cookie的情況,將同一個cookie反復標記為有效狀態。如果攻擊者能夠提前劫持來自網站的cookie,然后再將其植入用戶的瀏覽器中,則當用戶的認證信息到達HTTPS站點時,攻擊者就能夠獲得用戶憑據并以用戶身份登錄。
第二種是重定向攻擊。許多銀行網站會將用戶的會話從一個HTTP站點重定向到一個HTTPS站點,該會話通常是在另一個瀏覽器選項卡中打開,而不是在一個新的瀏覽器窗口中打開。由于攻擊者仍然控制著舊的選項卡,所以攻擊者可以在URL中注入Javascript腳本并修改新選項卡的行為。受攻擊者可能會下載可執行文件,或者被重定向到一個惡意登錄頁面。
Hansen和Sokol解釋說,利用針對SSL Web瀏覽器會話的攻擊,攻擊者可以觀察和計算用戶在一個網站的特定頁面上停留的時間。這可能會泄漏處理數據的頁面。此時,攻擊者可以在該網頁上采用相關技術強迫用戶退出登錄并重新進行身份認證,從而獲得用戶憑據。
Hansen指出,“有必要對SSL進行修改,比如添加填充和抖動代碼”。他解釋說,通過在Web請求中添加無意義的編碼,可以延長攻擊者完成攻擊的時間,也許足以阻止攻擊者采取進一步的行動。他說,“要避免此類攻擊,必須采取適當的選項卡隔離和沙箱技術。安全專家也許能夠避免此類情況的發生,但普通用戶卻不得不面臨這種威脅。我們真的很難阻止這種攻擊,我不知道有沒有簡單的辦法可以解決這個問題。”
【編輯推薦】
