当通过受保护的HTTPS连接访问服务时,浏览器在验证网站的数字证书之前不会将数据传递到Web服务器。该方案可防止监控/篡改数据的中间人攻击,防止用户收集身份验证cookie,或在受害者的设备上运行恶意软件。不过,ArsTechnica报道称,最近曝光的一种黑客攻击方式表明,攻击者仍然可以诱使浏览器连接到使用兼容证书的Email/FTP服务器,从而造成相应的风险。(来自:Alpace-Attack网站)因为该网站的域名与电子邮件或FTP服务器证书中的域名匹配,所以浏览器通常会将传输层安全(TLS)连接到这些服务器之一,而不是用户访问的网站打算参观。当浏览器使用HTTPS通信,而Email/FTP服务器通过SMTP/FTPS或其他协议通信时,可能会遇到严重的错误。示例包括向攻击者发送解密的身份验证cookie,或在受害计算机上执行恶意代码。尽管听起来有些牵强,但一项新研究揭示了这种攻击的可行性。大约144万个Web服务器使用的域名与同一组织的电子邮件/FTP服务器的加密凭据兼容。其中约114,000个站点被认为易受攻击,因为电子邮件/FTP服务器使用已知存在缺陷的软件。作为数百万台服务器所依赖的互联网安全的基石,TLS对在最终用户和服务器之间传输的数据进行加密,确保任何有权访问连接的人都无法读取或篡改数据。风险(图片来自ArsTechnica)然而,在周三发表的一篇研究论文中,包括Brinkmann在内的七名研究人员调查了所谓的跨协议攻击是否可用于绕过TLS保护。已知的问题是传输层安全性(TLS)不保护TCP连接的完整性,而只保护使用HTTP、SMTP或其他方式的Internet服务器。攻击的主要组成部分是:目标最终用户使用的客户端应用程序-这里是C;当前打算访问的服务器-简称Sint;代理服务器,通过SMTP/FTP/或使用不同协议与Serverint连接的服务器,但在其TLS证书中具有相同的域。即使中间人(MitM)无法解密TLS流量,攻击者仍然可以实现其他目标-例如强制目标浏览器连接到电子邮件/FTP服务器(而不是预期的Web服务器)。这可能导致浏览器向FTP服务器发送身份验证cookie,利用跨站点脚本攻击漏洞,允许浏览器下载并执行托管在电子邮件/FTP服务器上的恶意JavaScript脚本。幸运的是,该漏洞被研究人员命名为允许跨协议攻击的应用层协议(ALPACA),目前并未对大多数人构成重大威胁。但是,如果出现新的攻击媒介或漏洞,或者如果使用TLS来保护其他通信方案,风险仍然有可能增加。
