HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)協(xié)議是Web安全和可信電子商務(wù)的核心,但Web應(yīng)用安全專家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大會(huì)上宣布,Web瀏覽器的基礎(chǔ)架構(gòu)中存在24個(gè)危險(xiǎn)程度不同的安全漏洞.這些漏洞基本上使HTTPS和SSL能夠提供的瀏覽器保 護(hù)蕩然無(wú)存. HTTPS對(duì)HTTP協(xié)議進(jìn)行了加密,以保護(hù)用戶的頁(yè)面請(qǐng)求和Web服務(wù)器返回的頁(yè)面不被竊聽.SSL及后來(lái)的TLS協(xié)議允許HTTPS利用公鑰加密驗(yàn)證Web客戶端和服務(wù)器.

　　Hansen和Sokol指出,攻擊者要利用這些漏洞,首先需要發(fā)起中間人攻擊.攻擊者一旦劫持了瀏覽器會(huì)話,就可以利用這些漏洞中的大多數(shù)對(duì)會(huì)話進(jìn)行重定向,從而竊取用戶憑據(jù)或者從遠(yuǎn)程秘密執(zhí)行代碼.

　　然而,兩位研究人員強(qiáng)調(diào),中間人攻擊并不是攻擊者的終極目的.

　　Hansen指出,“利用中間人攻擊,攻擊者還可以實(shí)現(xiàn)許多更加容易的攻擊.你不得不'執(zhí)行'中間人攻擊,并被迫成為一個(gè)十分堅(jiān)定的攻擊者……然而,這還不是最壞的情況.對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō),這些攻擊簡(jiǎn)直是毀滅性的災(zāi)難.”

　　實(shí)際上,Hansen懷疑HTTPS和SSL/TLS中可能有數(shù)百個(gè)安全問題有待發(fā)現(xiàn).他說(shuō),由于要準(zhǔn)備這次黑帽大會(huì)的演講,他們還沒來(lái)得及對(duì)此進(jìn)行深入研究.

　　中間人攻擊并不是什么新技術(shù).由于各種原因,攻擊者可以設(shè)法在一個(gè)瀏覽器會(huì)話過(guò)程中的多個(gè)時(shí)刻加入會(huì)話.一些攻擊者能夠使用包括MD5沖突在內(nèi)的各種方法 偽造或竊取SSL證書.由于在會(huì)話到達(dá)認(rèn)證協(xié)商的加密端口之前,SSL協(xié)議是采用明文傳輸DNS和HTTP請(qǐng)求的,所以攻擊者還可以在這些步驟中的任一時(shí) 刻劫持會(huì)話.另外,攻擊者還能夠利用中間人攻擊修改HTTPS鏈接,將用戶重定向到惡意HTTP網(wǎng)站.

　　對(duì)任何攻擊者來(lái)說(shuō),重復(fù)Hansen和Sokol所說(shuō)的工作并不容易,它需要耐心和資源.兩位專家強(qiáng)調(diào),中間人攻擊得逞之后,攻擊者可能發(fā)動(dòng)兩種高度危險(xiǎn)的攻擊.

　　第一種是cookie篡改(cookie poisoning)攻擊,即攻擊者利用瀏覽器在用戶會(huì)話期間不更改cookie的情況,將同一個(gè)cookie反復(fù)標(biāo)記為有效狀態(tài).如果攻擊者能夠提前劫 持來(lái)自網(wǎng)站的cookie,然后再將其植入用戶的瀏覽器中,則當(dāng)用戶的認(rèn)證信息到達(dá)HTTPS站點(diǎn)時(shí),攻擊者就能夠獲得用戶憑據(jù)并以用戶身份登錄.

　　第二種是重定向攻擊.許多銀行網(wǎng)站會(huì)將用戶的會(huì)話從一個(gè)HTTP站點(diǎn)重定向到一個(gè)HTTPS站點(diǎn),該會(huì)話通常是在另一個(gè)瀏覽器選項(xiàng)卡中打開,而不是在一個(gè) 新的瀏覽器窗口中打開.由于攻擊者仍然控制著舊的選項(xiàng)卡,所以攻擊者可以在URL中注入Javascript腳本并修改新選項(xiàng)卡的行為.受攻擊者可能會(huì)下 載可執(zhí)行文件,或者被重定向到一個(gè)惡意登錄頁(yè)面.

　　Hansen和Sokol解釋說(shuō),利用針對(duì)SSL Web瀏覽器會(huì)話的攻擊,攻擊者可以觀察和計(jì)算用戶在一個(gè)網(wǎng)站的特定頁(yè)面上停留的時(shí)間.這可能會(huì)泄漏處理數(shù)據(jù)的頁(yè)面.此時(shí),攻擊者可以在該網(wǎng)頁(yè)上采用相關(guān)技術(shù)強(qiáng)迫用戶退出登錄并重新進(jìn)行身份認(rèn)證,從而獲得用戶憑據(jù).

　　Hansen指出,“有必要對(duì)SSL進(jìn)行修改,比如添加填充和抖動(dòng)代碼”.他解釋說(shuō),通過(guò)在Web請(qǐng)求中添加無(wú)意義的編碼,可以延長(zhǎng)攻擊者完成攻擊的時(shí) 間,也許足以阻止攻擊者采取進(jìn)一步的行動(dòng).他說(shuō),“要避免此類攻擊,必須采取適當(dāng)?shù)倪x項(xiàng)卡隔離和沙箱技術(shù).安全專家也許能夠避免此類情況的發(fā)生,但普通用 戶卻不得不面臨這種威脅.我們真的很難阻止這種攻擊,我不知道有沒有簡(jiǎn)單的辦法可以解決這個(gè)問題.”