https(安全HTTP)和SSL/TLS(安全套接层/传输层安全)协议是Web安全和可信电子商务的核心,但Web应用安全专家Robert “RSnake” Hansen和Josh Sokol在昨天的黑帽大会上宣布,Web浏览器的基础架构中存在24个危险程度不同的安全漏洞。这些漏洞基本上使HTTPS和SSL能够提供的浏览器保护荡然无存。
HTTPS对HTTP协议进行了加密,以保护用户的页面请求和Web 服务器 返回的页面不被窃听。SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器。
Hansen和Sokol指出,攻击者要利用这些漏洞,首先需要发起中间人攻击。攻击者一旦劫持了浏览器会话,就可以利用这些漏洞中的大多数对会话进行重定向,从而窃取用户凭据或者从远程秘密执行代码。
然而,两位研究人员强调,中间人攻击并不是攻击者的终极目的。
Hansen指出,“利用中间人攻击,攻击者还可以实现许多更加容易的攻击。你不得不‘执行’中间人攻击,并被迫成为一个十分坚定的攻击者……然而,这还不是最坏的情况。对于电子商务应用来说,这些攻击简直是毁灭性的灾难。”
实际上,Hansen怀疑HTTPS和SSL/TLS中可能有数百个安全问题有待发现。他说,由于要准备这次黑帽大会的演讲,他们还没来得及对此进行深入研究。
中间人攻击并不是什么新技术。由于各种原因,攻击者可以设法在一个浏览器会话过程中的多个时刻加入会话。一些攻击者能够使用包括MD5冲突在内的各种方法伪造或窃取SSL证书。由于在会话到达认证协商的加密端口之前,SSL协议是采用明文传输DNS和HTTP请求的,所以攻击者还可以在这些步骤中的任一时刻劫持会话。另外,攻击者还能够利用中间人攻击修改HTTPS链接,将用户重定向到恶意HTTP网站。
对任何攻击者来说,重复Hansen和Sokol所说的工作并不容易,它需要耐心和资源。两位专家强调,中间人攻击得逞之后,攻击者可能发动两种高度危险的攻击。
第一种是cookie篡改(cookie poisoning)攻击,即攻击者利用浏览器在用户会话期间不更改cookie的情况,将同一个cookie反复标记为有效状态。如果攻击者能够提前劫持来自网站的cookie,然后再将其植入用户的浏览器中,则当用户的认证信息到达HTTPS站点时,攻击者就能够获得用户凭据并以用户身份登录。
第二种是重定向攻击。许多银行网站会将用户的会话从一个HTTP站点重定向到一个HTTPS站点,该会话通常是在另一个浏览器选项卡中打开,而不是在一个新的浏览器窗口中打开。由于攻击者仍然控制着旧的选项卡,所以攻击者可以在URL中注入Javascript脚本并修改新选项卡的行为。受攻击者可能会下载可执行文件,或者被重定向到一个恶意登录页面。
Hansen和Sokol解释说,利用针对SSL Web浏览器会话的攻击,攻击者可以观察和计算用户在一个网站的特定页面上停留的时间。这可能会泄漏处理数据的页面。此时,攻击者可以在该网页上采用相关技术强迫用户退出登录并重新进行身份认证,从而获得用户凭据。
Hansen指出,“有必要对SSL进行修改,比如添加填充和抖动代码”。他解释说,通过在Web请求中添加无意义的编码,可以延长攻击者完成攻击的时间,也许足以阻止攻击者采取进一步的行动。他说,“要避免此类攻击,必须采取适当的选项卡隔离和沙箱技术。安全专家也许能够避免此类情况的发生,但普通用户却不得不面临这种威胁。我们真的很难阻止这种攻击,我不知道有没有简单的办法可以解决这个问题。”
【编辑推荐】
鲁迅有几个老婆?
两个鲁迅的合法妻子是许广平,但是在许之前鲁迅在家乡和一女子拜堂结婚,这是典型的包办婚姻。 这之后鲁迅东度日本学医。 学成归国后与一景仰自己的女青年(学生)相恋后结婚,她就是许广平。 那位家乡女子姓朱(无名)和鲁迅一家终生生活在一起。 鲁迅的结发“妻子”——朱安1906年6月,25岁的鲁迅正准备在日本东京开始他的文学活动,忽然不断地接到催他回国的家书,信里 说,他母亲病得很重,想见见自己的长子。 等到鲁迅焦灼不安地回到家里,才知道这是一场骗局。 原来在他家乡有一种谣传,说鲁迅跟日本女人结了婚,还生了孩子,有人看见他领着妻、儿在东京街头漫步。 族人变着法子把他骗回来完婚。 新娘朱安是鲁迅本家叔祖周玉田夫人的侄孙女,媒人是周玉田的儿媳妇。 按照“父母之命,媒妁之言”的旧礼俗,鲁迅的母亲鲁瑞没有征得鲁迅同意,便把这门婚事定下了。 现在,看到这个场面,鲁迅当然很生气,但出于对母亲的孝顺,他没有发作。 完婚的第二天,鲁迅没有按老规矩去拜祠堂。 晚上,他还是像往常一样独自睡进了书房。 第三天,他趁着家人不注意,悄悄地从家中出走,又到日本去了。 而朱安则跟着婆婆鲁瑞一块过日子。
网站代码编写中,常用的排错技术有哪些?
如果是语法上的错误,一般编译工具,如Dreamweaver、FrontPage等都会自动检测的,但是如果是逻辑上的错误,通常就是通过手工检测——一般是试运行来查找漏洞!总的来说,排错主要是依靠逻辑分析和经验来进行,建议分模块编写,这样可以分模块来测试以及查找错误,会节省大量的时间和精力
什么叫电子商务?
电子商务,Electronic Commerce,简称EC。 电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。 “中国网络营销网” Tinlu相关文章指出,电子商务涵盖的范围很广,一般可分为企业对企业(Business-to-Business),或企业对消费者(Business-to-Consumer)两种。 另外还有消费者对消费者(Consumer-to-Consumer)这种大步增长的模式。 随着国内Internet使用人口之增加,利用Internet进行网络购物并以银行卡付款的消费方式已渐流行,市场份额也在快速增长,电子商务网站也层出不穷。 电子商务最常见之安全机制有SSL及SET两种。 SSL(安全套接字协议)SSL(安全套接字协议)电子商务的定义: 首先将电子商务划分为广义和狭义的电子商务。 广义的电子商务定义为,使用各种电子工具从事商务或活动。 这些工具包括从初级的电报、电话、广播、电视、传真到计算机、计算机网络,到NII(国家信息基础结构-信息高速公路)、GII(全球信息基础结构)和Internet等现代系统。 而商务活动是从泛商品(实物与非实物,商品与非商品化的生产要素等等)的需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。 狭义电子商务定义为,主要利用Internet从事商务或活动。 电子商务是在技术、经济高度发达的现代社会里,掌握信息技术和商务规则的人,系统化地运用电子工具,高效率、低成本地从事以商品交换为中心的各种活动的总称。 这个分析突出了电子商务的前提、中心、重点、目的和标准,指出它应达到的水平和效果,它是对电子商务更严格和体现时代要求的定义,它从系统的观点出发,强调人在系统中的中心地位,将环境与人、人与工具、人与劳动对象有机地联系起来,用系统的目标、系统的组成来定义电子商务,从而使它具有生产力的性质。
发表评论