HTTPS（安全HTTP）和SSL/TLS（安全套接層/傳輸層安全）協(xié)議是Web安全和可信電子商務(wù)的核心，但Web應(yīng)用安全專家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大會(huì)上宣布，Web瀏覽器的基礎(chǔ)架構(gòu)中存在24個(gè)危險(xiǎn)程度不同的安全漏洞。這些漏洞基本上使HTTPS和SSL能夠提供的瀏覽器保護(hù)蕩然無(wú)存。

HTTPS對(duì)HTTP協(xié)議進(jìn)行了加密，以保護(hù)用戶的頁(yè)面請(qǐng)求和Web服務(wù)器返回的頁(yè)面不被竊聽。SSL及后來(lái)的TLS協(xié)議允許HTTPS利用公鑰加密驗(yàn)證Web客戶端和服務(wù)器。

Hansen和Sokol指出，攻擊者要利用這些漏洞，首先需要發(fā)起中間人攻擊。攻擊者一旦劫持了瀏覽器會(huì)話，就可以利用這些漏洞中的大多數(shù)對(duì)會(huì)話進(jìn)行重定向，從而竊取用戶憑據(jù)或者從遠(yuǎn)程秘密執(zhí)行代碼。

然而，兩位研究人員強(qiáng)調(diào)，中間人攻擊并不是攻擊者的終極目的。

Hansen指出，“利用中間人攻擊，攻擊者還可以實(shí)現(xiàn)許多更加容易的攻擊。你不得不‘執(zhí)行’中間人攻擊，并被迫成為一個(gè)十分堅(jiān)定的攻擊者......然而，這還不是最壞的情況。對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō)，這些攻擊簡(jiǎn)直是毀滅性的災(zāi)難。”

實(shí)際上，Hansen懷疑HTTPS和SSL/TLS中可能有數(shù)百個(gè)安全問(wèn)題有待發(fā)現(xiàn)。他說(shuō)，由于要準(zhǔn)備這次黑帽大會(huì)的演講，他們還沒來(lái)得及對(duì)此進(jìn)行深入研究。

中間人攻擊并不是什么新技術(shù)。由于各種原因，攻擊者可以設(shè)法在一個(gè)瀏覽器會(huì)話過(guò)程中的多個(gè)時(shí)刻加入會(huì)話。一些攻擊者能夠使用包括MD5沖突在內(nèi)的各種方法偽造或竊取SSL證書。由于在會(huì)話到達(dá)認(rèn)證協(xié)商的加密端口之前，SSL協(xié)議是采用明文傳輸DNS和HTTP請(qǐng)求的，所以攻擊者還可以在這些步驟中的任一時(shí)刻劫持會(huì)話。另外，攻擊者還能夠利用中間人攻擊修改HTTPS鏈接，將用戶重定向到惡意HTTP網(wǎng)站。

對(duì)任何攻擊者來(lái)說(shuō)，重復(fù)Hansen和Sokol所說(shuō)的工作并不容易，它需要耐心和資源。兩位專家強(qiáng)調(diào)，中間人攻擊得逞之后，攻擊者可能發(fā)動(dòng)兩種高度危險(xiǎn)的攻擊。

第一種是cookie篡改（cookie poisoning）攻擊，即攻擊者利用瀏覽器在用戶會(huì)話期間不更改cookie的情況，將同一個(gè)cookie反復(fù)標(biāo)記為有效狀態(tài)。如果攻擊者能夠提前劫持來(lái)自網(wǎng)站的cookie，然后再將其植入用戶的瀏覽器中，則當(dāng)用戶的認(rèn)證信息到達(dá)HTTPS站點(diǎn)時(shí)，攻擊者就能夠獲得用戶憑據(jù)并以用戶身份登錄。

第二種是重定向攻擊。許多銀行網(wǎng)站會(huì)將用戶的會(huì)話從一個(gè)HTTP站點(diǎn)重定向到一個(gè)HTTPS站點(diǎn)，該會(huì)話通常是在另一個(gè)瀏覽器選項(xiàng)卡中打開，而不是在一個(gè)新的瀏覽器窗口中打開。由于攻擊者仍然控制著舊的選項(xiàng)卡，所以攻擊者可以在URL中注入Javascript腳本并修改新選項(xiàng)卡的行為。受攻擊者可能會(huì)下載可執(zhí)行文件，或者被重定向到一個(gè)惡意登錄頁(yè)面。

Hansen和Sokol解釋說(shuō)，利用針對(duì)SSL Web瀏覽器會(huì)話的攻擊，攻擊者可以觀察和計(jì)算用戶在一個(gè)網(wǎng)站的特定頁(yè)面上停留的時(shí)間。這可能會(huì)泄漏處理數(shù)據(jù)的頁(yè)面。此時(shí)，攻擊者可以在該網(wǎng)頁(yè)上采用相關(guān)技術(shù)強(qiáng)迫用戶退出登錄并重新進(jìn)行身份認(rèn)證，從而獲得用戶憑據(jù)。

Hansen指出，“有必要對(duì)SSL進(jìn)行修改，比如添加填充和抖動(dòng)代碼”。他解釋說(shuō)，通過(guò)在Web請(qǐng)求中添加無(wú)意義的編碼，可以延長(zhǎng)攻擊者完成攻擊的時(shí)間，也許足以阻止攻擊者采取進(jìn)一步的行動(dòng)。他說(shuō)，“要避免此類攻擊，必須采取適當(dāng)?shù)倪x項(xiàng)卡隔離和沙箱技術(shù)。安全專家也許能夠避免此類情況的發(fā)生，但普通用戶卻不得不面臨這種威脅。我們真的很難阻止這種攻擊，我不知道有沒有簡(jiǎn)單的辦法可以解決這個(gè)問(wèn)題。”

【編輯推薦】

1. Windows TCP/IP協(xié)議棧存在嚴(yán)重遠(yuǎn)程安全漏洞
2. 加密三劍客SSL、SET和PGP