新型攻击30秒内可从加密通信中提取机密信息

oschina
 oschina
发布于 2013年08月02日
收藏 59

HTTPS加密协议保护着世界上数百万计的网站,然而现在出现一种新型的攻击手段,可以让黑客从加密的页面中提取出邮件地址、某种类型的身份信息(credentials),这一过程通常只需短短的30秒。这项技术在周四的拉斯维加斯黑帽安全大会上得到了演示,在演示过程中黑客破解了网上银行和电子商务网站使用SSL和TLS协议加密的响应信息。

整个攻击提取到了像社会安全号、邮件地址、安全token以及密码重置连接等特定的敏感数据。这种攻击方法对所有版本的TLS和SSL都有效,不论使用什么样的加密算法或密钥(cipher)。

http://static.cnbetacdn.com/newsimg/2013/0802/01375397886.jpg_w600.jpg

这 种手段要求攻击者能监听用户和网站之间的流量,并且攻击者也需要诱导受害人访问一个恶意链接。可以通过在网站上注入iframe标签让受害者访问或引导受 害人查看邮件,而其中的隐藏图片在加载时就会生成HTTPS请求。恶意链接会让受害者的计算机向目标服务器发送多个请求从而进行消息刺探。

“我们不会破解整个通信过程,只是提取了一些我们感兴趣的机密信息”发明这种攻击的3位研究员之一的Yoel Gluck如是说“这属于一种

定向攻击。我们只需在网站上找到一个需要进行口令或密码交换的地方,我们就可以在那个页面上提取到机密了。一般情况下,无论网页还是Ajax响应中的机密我们都可以在30s内提取出来。”

这种最新式的攻击让那些用HTTPS加以保护的Web、email以及其他的网络

服 务的安全性荡然无存。同时这种攻击方法也成为了众黑客们万分追捧的新技术之一。然而目前还没有任何攻击者能完全突破HTTPS的安全防线。这种攻击手法被 称为BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)

via arstechnica/cnbeta

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:新型攻击30秒内可从加密通信中提取机密信息
加载中

最新评论(38

高耳鸡
高耳鸡

引用来自“桔子”的评论

引用来自“零落千起”的评论

引用来自“桔子”的评论

攻击者也需要诱导受害人访问一个恶意链接。

中木马怎么加密都没有啥意义

但是这不是攻击的功效


比如你传输qq传输是https

我伪造一个张的像qq的网站,让你输入QQ号和密码,你来访问,你一输入我当然就能知道你用户名和密码了

无知者无畏

这才是无知乱喷的,看文章最后一句了么:

然而目前还没有任何攻击者能完全突破HTTPS的安全防线。

你看清楚了,哪里需要输入数据?
一个人说你不对,那可能是你或者别人有误,3个人说你不对,老兄,治疗一下吧。
yyliu
yyliu
更换iframe,好眼熟
桔子
桔子
看文章时候,都不要被标题当迷惑了。

都看到文章的最后一句了么:

这才是无知乱喷的,看文章最后一句了么:

然而目前还没有任何攻击者能完全突破HTTPS的安全防线。
3322
3322
xp被抛弃的唯一原因就是对内存的支持只是3GB,因为xp64位的太少人使用了。很多新的机器安装windows7的原因就是为了能够使用8G的内存。对于已经在生产的机器,没有任何理由去升级。
桔子
桔子

引用来自“老隆”的评论

引用来自“桔子”的评论

攻击者也需要诱导受害人访问一个恶意链接。

中木马怎么加密都没有啥意义

但是这不是攻击的功效


比如你传输qq传输是https

我伪造一个张的像qq的网站,让你输入QQ号和密码,你来访问,你一输入我当然就能知道你用户名和密码了

无知

这才是无知乱喷的,看文章最后一句了么:

然而目前还没有任何攻击者能完全突破HTTPS的安全防线。
Marvelous
Marvelous
很牛逼的样子
高耳鸡
高耳鸡

引用来自“桔子”的评论

攻击者也需要诱导受害人访问一个恶意链接。

中木马怎么加密都没有啥意义

但是这不是攻击的功效


比如你传输qq传输是https

我伪造一个张的像qq的网站,让你输入QQ号和密码,你来访问,你一输入我当然就能知道你用户名和密码了

无知者无畏
司谋客
司谋客
只能心灵传输信息了。
Jiazz
Jiazz
XSS 算新技术呀 ?
jdwx
jdwx
我的很多帐号和密码自己都记不住,哈哈。
返回顶部
顶部