كشف رخنه جدید امنیتی در HTTPS
#1
Note 
دو محقق امنیتی ادعا می كنند، حمله ی جدیدی را ابداع كرده اند كه می تواند كوكی های نشست را از روی ارتباطات HTTPS رمزگشایی نماید.
وب سایت ها برای به خاطر سپردن كاربران احراز هویت شده از كوكی های نشست استفاده می كنند. اگر مهاجمی به كوكی های نشست یك كاربر در حالی كه آن كاربر هنوز به آن وب سایت متصل است، دسترسی داشته باشد، آن مهاجم می تواند از آن كوكی برای دسترسی به حساب كاربری كاربر بر روی آن سایت استفاده نماید.
پروتكل HTTPS از نشست در برابر این نوع ارتباط ربایی ها محافظت می كند زیرا كوكی های نشست را هنگام انتقال یا ذخیره شدن در مرورگر رمزگذاری می كند. با این حال، این حمله جدید كه توسط محققان امنیتی جولیان ریزو و تای دوآنگ ابداع شده است، قادر است این كوكی ها را رمزگشایی نماید.

این حمله از یك ضعف در یكی از ویژگی های پروتكل های رمزنگاری TLS و SSL سوء استفاده می كند. این پروتكل ها برای پیاده سازی پروتكل HTTPS استفاده شده اند.
بنا به گفته این محققین، تمامی نسخه های TLS و SSL تحت تاثیر این ضعف و این سوء استفاده قرار دارند. این محققان ویژگی كه دارای آسیب پذیری می باشد را فاش نكرده اند.
كد حمله CRIME به عنوان یك عامل شناخته می شود و باید داخل مرورگر قربانی لود شود. این كار می تواند بوسیله فریب دادن قربانی به مشاهده یك وب سایت جعلی صورت گیرد یا اگر مهاجم كنترل كل شبكه ای كه قربانی عضو آن است را در اختیار دارد می تواند كد حمله را در یك ارتباط HTTP موجود تزریق نماید.
ریزو گفت: كد حمله CRIME بر روی مرورگرهای موزیلا فایرفاكس و گوگل كروم با موفقیت آزمایش شده است و سایر مرورگرها نیز می توانند تحت تاثیر این آسیب پذیری قرار بگیرند.
این محققان اظهار داشتند: در حال حاضر شركت های موزیلا و گوگل اصلاحیه ای را به منظور مسدود نمودن این حمله آماده كرده اند اما هنوز منتشر نكرده اند.
certcc.ir

پاسخ
ایجاد موضوع جدید   پاسخ به موضوع  

موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
Note اولین حافظه رم 128 گیگابایتی ddr4 دنیا OpenSource 0 220 09-04-2014 ساعت 09:19
آخرین ارسال: OpenSource
Note تهدیدی جدید برای رمزنگاری HTTPS C0der 0 237 11-08-2013 ساعت 13:50
آخرین ارسال: C0der
Note طراحی سیستم های امنیتی جدید بدون رمز عبور THE KNIGHT 0 295 18-07-2013 ساعت 16:43
آخرین ارسال: THE KNIGHT
Note حافظه  360 ترابایتی با طول عمر بیش از یک میلیون سال! THE KNIGHT 0 276 17-07-2013 ساعت 18:39
آخرین ارسال: THE KNIGHT
Note حمله امنیتی جدید چینی ها به ده ها سازمان دولتی در کره جنوبی sector 0 254 29-06-2013 ساعت 14:52
آخرین ارسال: sector
Note حافظه فلش ۲۴ ترابایتی به بازار آمد THE KNIGHT 0 287 14-04-2013 ساعت 13:33
آخرین ارسال: THE KNIGHT
Note دهمین كنفرانس امنیتی Hack in The Box THE KNIGHT 0 298 26-09-2012 ساعت 12:32
آخرین ارسال: THE KNIGHT

کاربرانِ درحال بازدید از این موضوع:   1 مهمان