灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9747|回复: 2

Cookie处理在浏览器可以打破HTTPS安全性 灰鸽子下载,远程控制软件

[复制链接]
发表于 2015-9-27 13:58:46 | 显示全部楼层 |阅读模式
Cookie处理在浏览器可以打破HTTPS安全性 灰鸽子下载,远程控制软件
缺乏cookie完整性验证浏览器可以让黑客从加密的网络连接中提取信息。
cookie,网站的文件创建在浏览器记住登录用户和其他跟踪信息,可以被攻击者获取敏感信息加密的HTTPS连接。
这个问题源于这一事实HTTP状态管理标准,或RFC 6265,它定义了如何创建和cookie处理,不指定任何隔离机制或检查其完整性。
因此,Web浏览器不总是认证域设置cookie。恶意攻击者可以通过普通的HTTP连接,后来被注入cookie传播HTTPS连接,
而不是那些设定的HTTPS网站本身,CERT协调中心(CERT / CC)卡内基梅隆大学周四在一个顾问说。
这一现象发生的原因之一是因为子域可以设置cookie,其他父域或子域都是有效的。
例如,如果subdomain.domain.com设置cookie域属性的domain.com,浏览器发送的cookie可能到
subdomain2.domain.com。网站托管在subdomain2可能无法区分自己的cookie和流氓。
cookie也不是孤立的端口号或计划。服务器托管多个网站可以通过相同的域,但在不同的端口号。
这些网站将能够读和写对方的cookie。灰鸽子使用教程
所有这些矛盾让中间人攻击者可以执行所谓的cookie注射或cookie扔攻击,可用于从HTTPS连接提取敏感信息。
伯克利加州大学的一个研究小组,在北京清华大学,国际计算机科学研究所和微软测试此类攻击的影响在不同的引人
注目的HTTPS网站和8月在USENIX大会上提出了他们的发现。
他们发现他们可以劫持用户的聊天工具在Gmail界面,偷谷歌搜索历史,中国银联网站上窃取信用卡信息,在JD.com上
劫持存款,劫持谷歌OAuth和BitBucket都联系,跟踪和操作电子商务购物车网站,跟踪Amazon.com上购买历史和更多。
“一些web浏览器厂商注意到先前的尝试更安全cookie管理已经被挫败由于缺乏广泛实现的标准,“CERT / CC在其顾问表示。
直到标准组织提出一个解决方案,可以减轻这个问题如果网站使用HTTP严格的交通安全(hst)机制迫使浏览器总是安全的HTTPS连接访问它们。
所有主流浏览器的最新版本支持hst,但为了使这个机制对cookie有效注入攻击,网站还需要实现它。
不幸的是,hst采用跨HTTPS-enabled网站仍然很低。根据最新的统计数据从SSL脉冲项目中,只有4.5%的互联网的前
145000名HTTPS网站目前hst的支持。
评帖赚银币(0) 收起
回复

使用道具 举报

发表于 2015-9-27 13:58:54 | 显示全部楼层
沙发怎么能少了我?!
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2015-9-27 16:52:58 | 显示全部楼层
回帖是美德。。
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-24 00:45 , Processed in 0.064246 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表