Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Представлен новый метод MitM-атак на HTTPS

10/06/21

Ученые из Рурского университета в Бохуме и Мюнстерского университета прикладных наук раскрыли подробности о новой технике атак на HTTPS, позволяющий извлечь cookie-файлы, осуществить XSS-атаки и похитить важную информацию.

Атака, получившая название ALPACA (Application Layer Protocol Confusion - Analyzing and mitigating Cracks in tls Authentication), эксплуатирует уязвимость в TLS и затрагивает TLS-серверы, использующие разные протоколы прикладного уровня (HTTPS, FTPS, SMTP, IMAP, POP3), но применяющие общие TLS-сертификаты.

Как пояснили исследователи, суть атаки заключается в том, что злоумышленник, имеющий доступ к сетевому шлюзу или беспроводной точке доступа, может перенаправить web-трафик на другой сетевой порт и установить соединение с FTP или почтовым сервером, поддерживающими TLS-шифрование и использующими общий с HTTP-сервером TLS-сертификат. При этом браузер пользователя будет считать, что установлено соединение с запрошенным HTTP-сервером.

ALPACA

Атака ALPACA возможна по той причине, что TLS не привязывает TCP-соединение к предназначенному протоколу уровня приложений, и это может использоваться для «перенаправления TLS-трафика с предназначенного TLS-сервера на другой (подставной) TLS-сервер». Метод работает при условии, что у злоумышленника есть возможность перехвата трафика на уровне TCP/IP.

Кроме того, уязвимость в TLS может использоваться для извлечения cookie-файлов аутентификации или других конфиденциальных данных на FTP-сервер, загрузки вредоносного кода JavaScript с FTP-сервера или проведения отраженной (Reflected XSS) атаки в контексте атакуемого web-сервера.

Для предотвращения подобных атак предлагается использовать расширение ALPN (Application Layer Protocol Negotiation) для согласования TLS-сеанса с учетом прикладного протокола и расширение SNI (Server Name Indication) для привязки к имени хоста в случае применения TLS-сертификатов, охватывающих несколько доменных имен.

Темы:УгрозыHTTPSуниверситетские исследованияMitM-атаки
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...