HTTPS加密协议保护着世界上数百万计的网站,然而现在出现一种新型的攻击手段,可以让黑客从加密的页面中提取出邮件地址、某种类型的身份信息(credentials),这一过程通常只需短短的30秒。这项技术在周四的拉斯维加斯黑帽安全大会上得到了演示,在演示过程中黑客破解了网上银行和电子商务网站使用SSL和TLS协议加密的响应信息。
整个攻击提取到了像社会安全号、邮件地址、安全token以及密码重置连接等特定的敏感数据。这种攻击方法对所有版本的TLS和SSL都有效,不论使用什么样的加密算法或密钥(cipher)。
这 种手段要求攻击者能监听用户和网站之间的流量,并且攻击者也需要诱导受害人访问一个恶意链接。可以通过在网站上注入iframe标签让受害者访问或引导受 害人查看邮件,而其中的隐藏图片在加载时就会生成HTTPS请求。恶意链接会让受害者的计算机向目标服务器发送多个请求从而进行消息刺探。
“我们不会破解整个通信过程,只是提取了一些我们感兴趣的机密信息”发明这种攻击的3位研究员之一的Yoel Gluck如是说“这属于一种
定向攻击。我们只需在网站上找到一个需要进行口令或密码交换的地方,我们就可以在那个页面上提取到机密了。一般情况下,无论网页还是Ajax响应中的机密我们都可以在30s内提取出来。”
这种最新式的攻击让那些用HTTPS加以保护的Web、email以及其他的网络
服 务的安全性荡然无存。同时这种攻击方法也成为了众黑客们万分追捧的新技术之一。然而目前还没有任何攻击者能完全突破HTTPS的安全防线。这种攻击手法被 称为BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)
via arstechnica/oschina
5楼:桔子
攻击者也需要诱导受害人访问一个恶意链接。
中木马怎么加密都没有啥意义
但是这不是攻击的功效
比如你传输qq传输是https
我伪造一个张的像qq的网站,让你输入QQ号和密码,你来访问,你一输入我当然就能知道你用户名和密码了
这 种手段要求攻击者能监听用户和网站之间的流量,并且攻击者也需要诱导受害人访问一个恶意链接。可以通过在网站上注入iframe标签让受害者访问或引导受 害人查看邮件,而其中的隐藏图片在加载时就会生成HTTPS请求
11楼:晓骏
12楼:NinjaSquid
xss只是其中的一步,用来引诱用户与服务器进行通信,最终的目的是获得通信中https加密的密文,然后对其进行破解。原文貌似说的是通过猜测@domain.com,从右到左一个字符一个字符的暴力,然后加密与原密文的长度进行对比,长度没有增加表明当前位置的字符是正确的,反复之,即可得到邮件地址。
15楼:看能不能改个名
经这么一点化,我明白攻击方式了.
理解起来很简单. 要想攻击目标网站,需要一个突破口, 通常会在需要输入敏感信息的页面,入住一些其他站点的外部链接,这样浏览器就同时会向其他站点链接发起请求,同时发送连接所必须的请求字段. 由于和其他钓鱼站之间的 信息是 可给还原的. 所以钓鱼站可获取请求实体内容. 再加上 敏感信息提交时候对真正站点传送的加密信息, 以为装的身份就可以仿冒 原请求发送给真实的服务器来验证. 之后截获回应信息. 攻破登录这关.
22楼:军师
这等于是先攻破的客户端,再用客户端去访问服务器端。当然什么样的加密算法或密钥(cipher)都没用了。
绝不是SSL、TLS被攻破了。
根本就不用害怕。和先种木马差不多,只有客户端保持好自已的浏览习惯,这种攻击方法一点用也没有。