HTTPS（安全HTTP）和SSL/TLS（安全套接層/傳輸層安全）協(xié)議是Web安全和可信電子商務(wù)的核心，但Web利用安全專家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大會上發(fā)布，Web瀏覽器的基礎(chǔ)架構(gòu)中存在24個危險(xiǎn)程度不同的安全漏洞。這些漏洞基礎(chǔ)上使HTTPS和SSL能夠供給的瀏覽器保護(hù)蕩然無存。

HTTPS對HTTP協(xié)議進(jìn)行了加密，以保護(hù)用戶的頁面懇求和Web服務(wù)器返回的頁面不被竊聽。SSL及后來的TLS協(xié)議容許HTTPS利用公鑰加密驗(yàn)證Web客戶端和服務(wù)器。

Hansen和Sokol指出，攻擊者要利用這些漏洞，首先需要發(fā)起中間人攻擊。攻擊者一旦劫持了瀏覽器會話，就可以利用這些漏洞中的大多數(shù)對會話進(jìn)行重定向，從而竊取用戶憑據(jù)或者從遠(yuǎn)程機(jī)密履行代碼。

然而，兩位研究人員強(qiáng)調(diào)，中間人攻擊并不是攻擊者的終極目標(biāo)。

Hansen指出，“利用中間人攻擊，攻擊者還可以實(shí)現(xiàn)許多更加容易的攻擊。你不得不‘履行’中間人攻擊，并被迫成為一個十分堅(jiān)定的攻擊者......然而，這還不是最壞的情況。對于電子商務(wù)利用來說，這些攻擊簡直是毀滅性的災(zāi)害�！�

實(shí)際上，Hansen猜忌HTTPS和SSL/TLS中可能有數(shù)百個安全問題有待發(fā)明。他說，由于要籌備這次黑帽大會的演講，他們還沒來得及對此進(jìn)行深入研究。

中間人攻擊并不是什么新技巧。由于各種原因，攻擊者可以設(shè)法在一個瀏覽器會話過程中的多個時(shí)刻參加會話。一些攻擊者能夠應(yīng)用包含MD5沖突在內(nèi)的各種方法捏造或竊取SSL證書。由于在會話達(dá)到認(rèn)證協(xié)商的加密端口之前，SSL協(xié)議是采用明文傳輸DNS和HTTP懇求的，所以攻擊者還可以在這些步驟中的任一時(shí)刻劫持會話。另外，攻擊者還能夠利用中間人攻擊修正HTTPS鏈接，將用戶重定向到惡意HTTP網(wǎng)站。

對任何攻擊者來說，重復(fù)Hansen和Sokol所說的工作并不容易，它需要耐心和資源。兩位專家強(qiáng)調(diào)，中間人攻擊得逞之后，攻擊者可能發(fā)動兩種高度危險(xiǎn)的攻擊。

第一種是cookie修正（cookie poisoning）攻擊，即攻擊者利用瀏覽器在用戶會話期間不更改cookie的情況，將同一個cookie重復(fù)標(biāo)記為有效狀態(tài)。如果攻擊者能夠提前劫持來自網(wǎng)站的cookie，然后再將其植入用戶的瀏覽器中，則當(dāng)用戶的認(rèn)證信息達(dá)到HTTPS站點(diǎn)時(shí)，攻擊者就能夠獲得用戶憑據(jù)并以用戶身份登錄。

第二種是重定向攻擊。許多銀行網(wǎng)站會將用戶的會話從一個HTTP站點(diǎn)重定向到一個HTTPS站點(diǎn)，該會話通常是在另一個瀏覽器選項(xiàng)卡中打開，而不是在一個新的瀏覽器窗口中打開。由于攻擊者仍然把持著舊的選項(xiàng)卡，所以攻擊者可以在URL中注入Javascript腳本并修正新選項(xiàng)卡的行動。受攻擊者可能會下載可履行文件，或者被重定向到一個惡意登錄頁面。

Hansen和Sokol說明說，利用針對SSL Web瀏覽器會話的攻擊，攻擊者可以觀察和盤算用戶在一個網(wǎng)站的特定頁面上停留的時(shí)間。這可能會泄漏處理數(shù)據(jù)的頁面。此時(shí)，攻擊者可以在該網(wǎng)頁上采用相干技巧逼迫用戶退出登錄并重新進(jìn)行身份認(rèn)證，從而獲得用戶憑據(jù)。

Hansen指出，“有必要對SSL進(jìn)行修正，比如添加填充和抖動代碼”。他說明說，通過在Web懇求中添加無意義的編碼，可以延伸攻擊者完成攻擊的時(shí)間，也許足以禁止攻擊者采用進(jìn)一步的舉動。他說，“要避免此類攻擊，必須采用適當(dāng)?shù)倪x項(xiàng)卡隔離和沙箱技巧。安全專家也許能夠避免此類情況的產(chǎn)生，但普通用戶卻不得不面臨這種要挾。我們真的很難禁止這種攻擊，我不知道有沒有簡略的措施可以解決這個問題�！�