HTTP,即超文本傳輸協(xié)議�,是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議�。然而HTTP協(xié)議以明文方式發(fā)送內(nèi)容����,不提供任何方式的數(shù)據(jù)加密���,這導(dǎo)致這種方式特別不安全。對此便衍生出能夠為數(shù)據(jù)傳輸提供安全的HTTPS(超文本加密傳輸協(xié)議)��,HTTPS一度成為各大網(wǎng)站推崇的主流加密協(xié)議�����。
HTTP�����,即超文本傳輸協(xié)議�,是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。然而HTTP協(xié)議以明文方式發(fā)送內(nèi)容����,不提供任何方式的數(shù)據(jù)加密,這導(dǎo)致這種方式特別不安全�����。對此便衍生出能夠為數(shù)據(jù)傳輸提供安全的HTTPS(超文本加密傳輸協(xié)議)����,HTTPS一度成為各大網(wǎng)站推崇的主流加密協(xié)議。
HTTPS加密連接也不再安全
不過����,現(xiàn)在研究人員卻發(fā)現(xiàn)了一種攻擊方法能夠繞過HTTPS加密連接����,進(jìn)而發(fā)現(xiàn)用戶請求的網(wǎng)址���,但加密流量本身不會受到影響�。更可怕的是���,該攻擊對所有瀏覽器和操作系統(tǒng)均有效�����。
據(jù)透露�,攻擊者可以在各種類型的網(wǎng)絡(luò)中發(fā)動這種攻擊���,甚至是在公共Wi-Fi中也可以。該攻擊主要利用了一種名為WPAD(Web Proxy Autodisovery)的特性���,這種特性會將某些瀏覽器請求暴露給攻擊者�,然后攻擊者就可以看到目標(biāo)用戶訪問過的每個網(wǎng)站的URL了�。
研究人員稱已發(fā)現(xiàn)可繞過
研究人員表示,將于下個月在拉斯維加斯的Black Hat(黑帽)安全大會上演示該攻擊手法。其中最有可能的攻擊方法是當(dāng)用戶使用DHCP協(xié)議連接一個網(wǎng)絡(luò)�����,DHCP能被用于設(shè)置一個代理服務(wù)器幫助瀏覽器訪問特定的網(wǎng)址����,攻擊者可以強(qiáng)迫瀏覽器獲取一個proxy autoconfig (PAC)文件,指定特定網(wǎng)址觸發(fā)使用代理��。惡意的PAC代碼在HTTPS連接建立前獲取到URL請求�����,攻擊者因而能掌握用戶訪問的明文URL����。
據(jù)悉除了URL,其他的HTTPs流量也會受到攻擊的影響�,并且在某些情況下, URL的暴露就已經(jīng)可以對安全造成致命的打擊了�����。例如��,OpenID標(biāo)準(zhǔn)會使用URL來驗證用戶和服務(wù)。另一個例子是谷歌和Dropbox提供的文件共享服務(wù)��,它會向用戶發(fā)送一個包含URL的安全令牌�,繼而進(jìn)行工作。許多密碼重置機(jī)制也同樣依賴于基于URL的安全令牌���。攻擊者只要在上述的任何一種情況下獲得這些URL��,就能進(jìn)入目標(biāo)用戶的帳戶����、獲取他們的數(shù)據(jù)����。
