信息网络安全
信息網絡安全
신식망락안전
NETINFO SECURITY
2015年
3期
59-63
,共5页
HTTPS劫持%dSploit%脚本注入%信息安全%中间人攻击
HTTPS劫持%dSploit%腳本註入%信息安全%中間人攻擊
HTTPS겁지%dSploit%각본주입%신식안전%중간인공격
HTTPS hijacking%dSploit%script injection%information security%MITM
文章研究了目前主流的针对HTTPS会话劫持的手段,详细分析了基于伪造证书与HTTP跳转HTTPS漏洞而进行的劫持方法与流程,同时也给出了这些方法存在的优劣。目前广泛使用的方法是基于HTTP与HTTPS间的跳转漏洞,代理服务器利用中间人攻击与客户端建立HTTP连接,与服务器建立HTTPS连接,从而对整个数据流进行中转,获取用户通信数据。该种方法在PC端能够奏效,但移植到移动终端后却效果不佳,主要是由于该种方法需要中间代理服务器对整个数据流进行监控,及时替换掉服务器响应中的HTTPS跳转,这就需要快速的匹配与转发。但是移动终端处理能力有限,很难达到这样的目的。目前,移动终端发展迅速,用户使用量逐渐增大,越来越的人注意到移动端的渗透测试。为了更好的在移动终端实现HTTPS的会话劫持,解决中间节点处理瓶颈问题。文章在dSploit的实现原理基础上,结合移动终端特定环境,提出了一种基于脚本注入的HTTPS会话劫持方法,有效的将中间人所需的替换工作转移到用户端进行,有效提高了中间端的处理性能。文章详细阐述了其实现原理与流程,更进一步分析出了HTTPS通信中可能存在的安全隐患,并对此提供了可行的防范措施。
文章研究瞭目前主流的針對HTTPS會話劫持的手段,詳細分析瞭基于偽造證書與HTTP跳轉HTTPS漏洞而進行的劫持方法與流程,同時也給齣瞭這些方法存在的優劣。目前廣汎使用的方法是基于HTTP與HTTPS間的跳轉漏洞,代理服務器利用中間人攻擊與客戶耑建立HTTP連接,與服務器建立HTTPS連接,從而對整箇數據流進行中轉,穫取用戶通信數據。該種方法在PC耑能夠奏效,但移植到移動終耑後卻效果不佳,主要是由于該種方法需要中間代理服務器對整箇數據流進行鑑控,及時替換掉服務器響應中的HTTPS跳轉,這就需要快速的匹配與轉髮。但是移動終耑處理能力有限,很難達到這樣的目的。目前,移動終耑髮展迅速,用戶使用量逐漸增大,越來越的人註意到移動耑的滲透測試。為瞭更好的在移動終耑實現HTTPS的會話劫持,解決中間節點處理瓶頸問題。文章在dSploit的實現原理基礎上,結閤移動終耑特定環境,提齣瞭一種基于腳本註入的HTTPS會話劫持方法,有效的將中間人所需的替換工作轉移到用戶耑進行,有效提高瞭中間耑的處理性能。文章詳細闡述瞭其實現原理與流程,更進一步分析齣瞭HTTPS通信中可能存在的安全隱患,併對此提供瞭可行的防範措施。
문장연구료목전주류적침대HTTPS회화겁지적수단,상세분석료기우위조증서여HTTP도전HTTPS루동이진행적겁지방법여류정,동시야급출료저사방법존재적우렬。목전엄범사용적방법시기우HTTP여HTTPS간적도전루동,대리복무기이용중간인공격여객호단건립HTTP련접,여복무기건립HTTPS련접,종이대정개수거류진행중전,획취용호통신수거。해충방법재PC단능구주효,단이식도이동종단후각효과불가,주요시유우해충방법수요중간대리복무기대정개수거류진행감공,급시체환도복무기향응중적HTTPS도전,저취수요쾌속적필배여전발。단시이동종단처리능력유한,흔난체도저양적목적。목전,이동종단발전신속,용호사용량축점증대,월래월적인주의도이동단적삼투측시。위료경호적재이동종단실현HTTPS적회화겁지,해결중간절점처리병경문제。문장재dSploit적실현원리기출상,결합이동종단특정배경,제출료일충기우각본주입적HTTPS회화겁지방법,유효적장중간인소수적체환공작전이도용호단진행,유효제고료중간단적처이성능。문장상세천술료기실현원리여류정,경진일보분석출료HTTPS통신중가능존재적안전은환,병대차제공료가행적방범조시。
This article analyzes the common methods of HTTPS hijacking, the methods and technological process of fake certiifcate, vulnerabilities of the jumping between HTTP and HTTPS. It points out the pros and cons of these methods at the same time. The second method is widely used at present, the proxy server establish HTTP connections with the client using MITM and HTTPS connections with the real server in order to get the users’ secret information and forward the data. This method is useful in PC platform, but cannot work well in mobile platform, because the middle proxy needs to monitor the holly communication data, replace the HTTPS connections timely and also needs matching features speedy. But the mobile machine is short in this. At present, the raid developments of mobile terminal cause more and more attention of penetration test on the mobile terminal. In order to perform the HTTPS hijacking on the mobile terminal much better and solve the existing problems, this article puts forward a new HTTPS hijacking method based on script injection according to the principles of dSploit. It successfully transferred the replacing work that the middle must do to the client, and also improving the efficiency. This article expounds the process and principle of this method, exposes the obscure security problems concerned with https-based communication, and provides some defending measures against HTTPS hijacking.
