意大利威尼斯 CA'Foscari 大學和奧地利 Tu Wien 大學的研究人員發現,超過 10000 個使用 HTTPS 的頂級網站仍然容易受到傳輸層安全漏洞的攻擊。
HTTPS(超文本傳輸協議安全)在幾年前取代了 HTTP,目前大多數頂級網站都在使用它,但是發現它仍然不安全。 HTTPS 應該保護用戶免受中間人攻擊,並且不允許黑客訪問您的密碼,歷史記錄和其他數據。
新的研究表明,某些使用 HTTPS 來保護用戶和 Web 服務器之間連接的網站仍然將一些用戶數據暴露給黑客。在被分析的 10000 個網站中,約 5.5% 的網站容易受到攻擊。HTTPS 使用傳輸層安全性或 TLS 加密通信。但是,有些網站沒有正確實施此協議。這些網站未能使用 TLS 修復一些已知錯誤。
當用戶訪問這些網站時,HTTPS 的綠色掛鎖鎖仍然會出現在地址欄中。TLS 中的錯誤很難被檢測到,但它們仍然存在,並且可能被利用。研究人員使用 TLS 分析技術來分析前 10000 個網站。他們使用 Alexa 的排名表來查找這些網站。該研究論文將在第四十屆IEEE安全與隱私研討會上發表,該研討會將於5月在舊金山舉行。
攻擊者可以使用這些漏洞來解密來自 cookie 的信息。雖然 cookie 不會向攻擊者提供任何敏感信息,但還有其他缺陷。攻擊者可以訪問瀏覽器和服務器之間交換的幾乎所有數據。值得注意的是,被測試的 10000 個網站也鏈接到了大約 91000 個域名。這些漏洞也可能影響這些網站。在 10000 個網站中,898 個網站完全易受攻擊,整個數據被發現受到破壞。另外 977 個網站的頁面完整性很低,這也是一個很大的問題。
分享到:
閱讀更多 WEB開發之家 的文章
