久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: Cookie處理在瀏覽器可以打破HTTPS安全性灰鴿子下載,遠(yuǎn)程控制軟件 [打印本頁(yè)]

作者: admin 時(shí)間: 2015-9-27 13:58
標(biāo)題: Cookie處理在瀏覽器可以打破HTTPS安全性灰鴿子下載,遠(yuǎn)程控制軟件
Cookie處理在瀏覽器可以打破HTTPS安全性灰鴿子下載,遠(yuǎn)程控制軟件
缺乏cookie完整性驗(yàn)證瀏覽器可以讓黑客從加密的網(wǎng)絡(luò)連接中提取信息。
cookie,網(wǎng)站的文件創(chuàng)建在瀏覽器記住登錄用戶和其他跟蹤信息,可以被攻擊者獲取敏感信息加密的HTTPS連接。
這個(gè)問(wèn)題源于這一事實(shí)HTTP狀態(tài)管理標(biāo)準(zhǔn),或RFC 6265,它定義了如何創(chuàng)建和cookie處理,不指定任何隔離機(jī)制或檢查其完整性。
因此,Web瀏覽器不總是認(rèn)證域設(shè)置cookie。惡意攻擊者可以通過(guò)普通的HTTP連接,后來(lái)被注入cookie傳播HTTPS連接,
而不是那些設(shè)定的HTTPS網(wǎng)站本身,CERT協(xié)調(diào)中心(CERT / CC)卡內(nèi)基梅隆大學(xué)周四在一個(gè)顧問(wèn)說(shuō)。
這一現(xiàn)象發(fā)生的原因之一是因?yàn)樽佑蚩梢栽O(shè)置cookie,其他父域或子域都是有效的。
例如,如果subdomain.domain.com設(shè)置cookie域?qū)傩缘膁omain.com,瀏覽器發(fā)送的cookie可能到
subdomain2.domain.com。網(wǎng)站托管在subdomain2可能無(wú)法區(qū)分自己的cookie和流氓。
cookie也不是孤立的端口號(hào)或計(jì)劃。服務(wù)器托管多個(gè)網(wǎng)站可以通過(guò)相同的域,但在不同的端口號(hào)。
這些網(wǎng)站將能夠讀和寫對(duì)方的cookie。灰鴿子使用教程
所有這些矛盾讓中間人攻擊者可以執(zhí)行所謂的cookie注射或cookie扔攻擊,可用于從HTTPS連接提取敏感信息。
伯克利加州大學(xué)的一個(gè)研究小組,在北京清華大學(xué),國(guó)際計(jì)算機(jī)科學(xué)研究所和微軟測(cè)試此類攻擊的影響在不同的引人
注目的HTTPS網(wǎng)站和8月在USENIX大會(huì)上提出了他們的發(fā)現(xiàn)。
他們發(fā)現(xiàn)他們可以劫持用戶的聊天工具在Gmail界面,偷谷歌搜索歷史,中國(guó)銀聯(lián)網(wǎng)站上竊取信用卡信息,在JD.com上
劫持存款,劫持谷歌OAuth和BitBucket都聯(lián)系,跟蹤和操作電子商務(wù)購(gòu)物車網(wǎng)站,跟蹤Amazon.com上購(gòu)買歷史和更多。
“一些web瀏覽器廠商注意到先前的嘗試更安全cookie管理已經(jīng)被挫敗由于缺乏廣泛實(shí)現(xiàn)的標(biāo)準(zhǔn),“CERT / CC在其顧問(wèn)表示。
直到標(biāo)準(zhǔn)組織提出一個(gè)解決方案,可以減輕這個(gè)問(wèn)題如果網(wǎng)站使用HTTP嚴(yán)格的交通安全(hst)機(jī)制迫使瀏覽器總是安全的HTTPS連接訪問(wèn)它們。
所有主流瀏覽器的最新版本支持hst,但為了使這個(gè)機(jī)制對(duì)cookie有效注入攻擊,網(wǎng)站還需要實(shí)現(xiàn)它。
不幸的是,hst采用跨HTTPS-enabled網(wǎng)站仍然很低。根據(jù)最新的統(tǒng)計(jì)數(shù)據(jù)從SSL脈沖項(xiàng)目中,只有4.5%的互聯(lián)網(wǎng)的前
145000名HTTPS網(wǎng)站目前hst的支持。

作者: 旋渦鳴人 時(shí)間: 2015-9-27 13:58
沙發(fā)怎么能少了我？！

作者: momogexia 時(shí)間: 2015-9-27 16:52
回帖是美德。。

歡迎光臨灰鴿子遠(yuǎn)程控制軟件 (http://www.wzgoogletg.cn/)