安全: 新攻擊能繞過HTTPS保護

HTTPS

【博聞社】研究人員發現了一種攻擊方法能繞過HTTPS保護,發現用戶請求的網址,但加密流量本身不會受到影響。這一攻擊對所有瀏覽器和操作系統都有效。

ARS報道,研究人員將於下個月在拉斯維加斯的Black Hat安全會議上演示這一攻擊。

攻擊能被任何的網絡運營者執行,比如提供開放WIFI服務的運營者。

它濫用了名叫Web Proxy Autodisovery(WPAD)的特性。其中最有可能的攻擊方法是當用戶使用DHCP協議連接一個網絡,DHCP能被用於設置一個代理服務器幫助瀏覽器訪問特定的網址,攻擊者可以強迫瀏覽器獲取一個proxy autoconfig (PAC)文件,指定特定網址觸發使用代理。

惡意的PAC代碼在HTTPS連接建立前獲取到URL請求,攻擊者因而能掌握用戶訪問的明文URL。

Add a Comment

發佈留言必須填寫的電子郵件地址不會公開。