原标题:研究者展示从HTTPS页面窃取资讯的HEIST攻击手法
示意图,与新闻事件无关。
两名来自比利时鲁汶大学的博士候选人Mathy Vanhoef与Tom Van Goethem在本周举行的黑帽骇客大会(Black Hat)展示了一项名为HEIST的攻击手法, 可窃取使用者于HTTPS网页上传输的资讯。
HEIST的全名是「可藉由TCP窃取HTTPS的加密资讯」(HTTPS Encrypted Information can be Stolen Through TCP Windows), 只要在任何加密网站的网页或广告中植入恶意的JavaScript档案,当使用者以浏览器造访网站时, 所输入的资讯就可能遭到拦截,不论是电子邮件位址或社会安全码。
HEIST技术开採的是HTTPS的回应透过TCP传输时的方法 ,以恶意程式查询由SSL或TLS等安全通讯协定所保护的网页, 并测量所传输的加密文件大小, 一旦骇客得知所传输文件的精确尺寸, 就能利用BREACH或CRIME等既有的攻击工具进行解密。
Goethem透露, 过去骇客必须处于使用者与网站伺服器之间的中间人位置才能利用BREACH或CRIME展开攻击, 现在只需要受害者造访藏匿恶意程式的网站即可。
目前已知可减缓相关攻击的方式只有关闭第三方的Cookie, 然而,多数浏览器的预设值都允许Cookie, 而且有些网路服务必须藉由Cookie才能运作。
相关:
法抢匪攻击中国人,原因是这样实在太惨了。昨天,在巴黎戴高乐机场附近的饭店外,约6名歹徒喷催泪瓦斯攻击中国观光客,抢劫他们的行李后逃逸。救援人员表示,2名观光客及1名翻译受轻伤,送医治疗。法国警方与救援人员
极端组织“伊斯兰国”最近盯上了俄罗斯。在7月31日发布的一段视频中,该组织要求武装人员把袭击目标对准俄罗斯以及俄总统弗拉基米尔·普京。 这段视频...资料图:俄罗斯反恐部队原标题:极端组织“伊斯兰国”盯上俄罗斯
图片来源: 思科 思科(Cisco)于上周发表的2016年年中网路安全报告提出警告,操作勒索软体的骇客已将矛头转向大型企业的员工,因而呼吁企业应备份重要资料并建立因应计画,以期能在遭受攻击之后儘快回复正常运作。思
美黑帽骇客年会:无人机加上Raspberry Pi打造500美元「网路攻击飞机」
图片来源: 翻摄自Popular Science 美国黑帽骇客年会30日在拉斯维加斯登场,有即将参与的资安专家在大会正式议程开始前,提醒外界留意无人机有可能被利用来干扰甚至拦截附近办公大楼的无线通讯资料,并将展示概念成品
空军对地攻击实弹演习 车辆被打爆残骸飞出百米远 天气:晴;温度:36~40摄氏度;风力:3-4级。7月23日,华东某地靶场闷热异常,经过前一日的弹着点偏差测量...1 / 10 空军对地攻击实弹演习 车辆被打爆残骸飞出百米远1 / 1