Представлена новая атака на https — Https Bicycle - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 





Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 09.01.2016, 08:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 2,174
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Представлена новая атака на https — Https Bicycle

Независимый исследователь Гвидо Вранкен (Guido Vranken) опубликовал доклад, в котором описал свою методику атак на зашифрованный TLS/SSL-трафик. Вранкен назвал свою технику HTTPS Bicycle. Она позволяет выудить из потока HTTPS полезную информацию, в частности, узнать длину пароля или GPS-координаты жертвы.

Исследователь описывает атаку HTTPS Bicycle как метод, позволяющий инспектировать HTTPS-трафик и определять длину некоторых данных, сокрытых под слоем TLS защиты. Вранкен пишет, что таким образом можно узнать длину cookie хедера, длину паролей, пересылаемых посредством POST запросов, GPS-координаты, адреса IPv4 и другие данные, сокрытые в TLS-инкапсулированном HTTP-трафике. Немаловажно и то, что атаку HTTPS Bicycle невозможно обнаружить, а также данный метод можно применить ретроспективно — к HTTPS-трафику, записанному много лет назад.

Для успешной реализации атаки понадобится соблюсти пару условий. Во-первых, HTTPS-трафик, который атакующий собирается «слушать», должен использовать потоковое шифрование. Во-вторых, атакующий должен заранее знать длину некоторых данных, прежде чем он приступит к извлечению специфических деталей из HTTPS-пакетов. Когда оба условия соблюдены, злоумышленнику остается лишь перехватить HTTPS-пакеты, относящиеся к аутентификационным операциям жертвы.

К примеру, атакующему достаточно знать username своей жертвы, URL логина и прочую сопутствующую информацию, которая обычно передается на сервер. Тогда единственной неизвестной величиной, содержащейся в HTTPS-пакетах, останется информация о длине пароля жертвы. Далее, используя несложную математику, злоумышленник сможет вычислить длину чужого пароля. В итоге эта информация может оказаться неплохим подспорьем, если потом атакующий планирует применить брутфорс.

Хотя исследование Вранкена, по сути, только теория, многие эксперты в области информационной безопасности признали, что его теория весьма реальна и опасна. Ничего невозможного Вранкен не предлагает, то есть атака HTTPS Bicycle вполне осуществима на практике. Чтобы защититься от подобной «прослушки», Вранкен рекомендует администраторам отключать потоковое шифрование TLS, всегда использовать новейшую версию протокола (на данный момент актуальна версия 1.2) и добавить padding для любых важных данных, пересылаемых посредством HTTPS, чтобы замаскировать их настоящую длину.
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
HTTPS Proxy | HTTPS прокси 6.11.2015 saimon3191 HTTP/S Proxy | HTTP/S прокси 0 06.11.2015 10:15
https cvat007 HTTP/S Proxy | HTTP/S прокси 0 14.02.2014 04:09
https proxy lexa7170 HTTPS, Connect/Tunnel, IRC Proxy Lists | SSL прокси 0 09.01.2013 13:23
HTTPS vs Socks tyshkancheg Proxy FAQ | Что такое прокси и как ими пользоваться 5 24.06.2012 11:18
mix https proxies 04.12.11 NTR HTTP/S Proxy | HTTP/S прокси 0 04.12.2011 22:14




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.