SSL信息一项新型技术被发现能够攻击SSL/TLS及其他安全通道,破解加密过的email地址、社保号以及各种敏感数据。
一系列的新型攻击给浏览器带来网络级攻击
通过这项漏洞,攻击者可以在网页中插入一个隐藏的JavaScript文件,以此蒙骗终端用户。这项名叫HEIST的攻击由比利时鲁汶大学的两名博士生Mathy Vanhoef和Tom Van Goethem开发并命名。他们上周三在Black Hat上展示了这项发现:它甚至可以在不探测实际流量的情况下直接利用网络协议的缺陷发动进攻。不仅如此,他们还演示了一个旁道攻击影响TCP层的信息传输,从而获取明文数据的整个过程。研究者称:“这样一来,现在那些基于压缩的攻击(如CRIME和BREACH)都可以非常完美地运行于浏览器,无论是恶意网站还是恶意脚本,实施起来都不需要网络通道”。这项攻击一旦被使用,将会以渗透网站各项服务的方式获取大量的敏感信息。
来源:SC MAGAZINE
翻译:JCKA