A-A+

研究人员利用旁路攻击窃取加密信息

2016年08月10日 Linux 教程 暂无评论 阅读 944 次

过去几年发现的针对 SSL/TLS 的攻击通常需要攻击者处于中间人的位置,也就是要求中间人攻击者能嗅探或操控流量。两位安全研究人员在 Black Hat 安全会议上报告了一种新的组合旁路攻击的方法,不需要中间人去嗅探流量。这种攻击技术被称为《HEIST: HTTP Encrypted Information can be Stolen through TCP-windows》(PDF), 利用通过TCP层传输的跨越响应包大小和 SSL /TLS 缺乏明文信息长度隐藏能力的弱点去推断出加密响应中包含的信息。研究人员利用这种方法可以解密加密响应中包含的电子邮件地址、社会安全账户等敏感信息。两名研究人员在公开发表报告前已经向Google和微软提前披露了他们的发现,他们是通过在网站上展示第三方恶意广告的方法去实现攻击的。研究人员称,目前唯一缓和攻击的方法是禁用第三方cookies,而目前大部分浏览器都默认接受第三方cookies。

标签:

给我留言

Copyright © SEARU.ORG 保留所有权利.   Theme  Ality 网站地图 360网站安全检测平台

用户登录

分享到: