添加的内容 删除的内容
小 (移除无用链接) |
小 (机器人:清理不当的来源、移除无用的模板参数) |
||
(未显示2个用户的4个中间版本) | |||
第1行: | 第1行: | ||
{{NoteTA|G1=IT}} |
{{NoteTA|G1=IT}} |
||
'''CRIME'''({{lang-en|'''Compression Ratio Info-leak Made Easy'''}},意思为:压缩率使信息容易泄露)是一种[[Exploit|可攻击安全隐患]](Exploit),通过它可窃取启用[[数据压缩]]特性的[[超文本传输安全协议|HTTPS]]或[[SPDY]]协议传输的私密[[Cookie|Web Cookie]]。<ref name="goodin2012-09-13">{{Cite web|url=http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/|title=Crack in Internet's foundation of trust allows HTTPS session hijacking|accessdate=September 13, 2012|date=September 13, 2012|last=Goodin|first=Dan|publisher=Ars Technica |
'''CRIME'''({{lang-en|'''Compression Ratio Info-leak Made Easy'''}},意思为:压缩率使信息容易泄露)是一种[[Exploit|可攻击安全隐患]](Exploit),通过它可窃取启用[[数据压缩]]特性的[[超文本传输安全协议|HTTPS]]或[[SPDY]]协议传输的私密[[Cookie|Web Cookie]]。<ref name="goodin2012-09-13">{{Cite web|url=http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/|title=Crack in Internet's foundation of trust allows HTTPS session hijacking|accessdate=September 13, 2012|date=September 13, 2012|last=Goodin|first=Dan|publisher=Ars Technica}}</ref><ref name="fisher2012-09-13">{{Cite web|url=https://threatpost.com/crime-attack-uses-compression-ratio-tls-requests-side-channel-hijack-secure-sessions-091312/|title=CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions|accessdate=September 13, 2012|date=September 13, 2012|last=Fisher|first=Dennis|publisher=ThreatPost}}</ref>在成功解读[[身份验证Cookie]]后,攻击者可以实行[[中间人攻击|会话劫持]]和发动进一步攻击。CRIME被分配为CVE-2012-4929。<ref>{{Cite web |url=http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-4929 |title=存档副本 |accessdate=2016-07-09 }}</ref> |
||
== 细节 == |
== 细节 == |
||
此漏洞立足于[[选择明文攻击]]配合数据压缩无意间造成的{{tsl|en|Information_leakage|信息泄露}},类似密码学家{{tsl|en|John_Kelsey_(cryptanalyst)|John Kelsey}}在2002年所述的方式。<ref>{{Cite book|url=http://www.iacr.org/cryptodb/data/paper.php?pubkey=3091|title=Fast Software Encryption|year=2002|isbn=978-3-540-44009-3|series=Lecture Notes in Computer Science|volume=2365|pages=263|chapter=Compression and Information Leakage of Plaintext|doi=10.1007/3-540-45661-9_21|pmc=|pmid=|last1=Kelsey|first1=J.|access-date=2016-07-09 |
此漏洞立足于[[选择明文攻击]]配合数据压缩无意间造成的{{tsl|en|Information_leakage|信息泄露}},类似密码学家{{tsl|en|John_Kelsey_(cryptanalyst)|John Kelsey}}在2002年所述的方式。<ref>{{Cite book|url=http://www.iacr.org/cryptodb/data/paper.php?pubkey=3091|title=Fast Software Encryption|year=2002|isbn=978-3-540-44009-3|series=Lecture Notes in Computer Science|volume=2365|pages=263|chapter=Compression and Information Leakage of Plaintext|doi=10.1007/3-540-45661-9_21|pmc=|pmid=|last1=Kelsey|first1=J.|access-date=2016-07-09}}</ref>它依赖于攻击者能观察浏览器发送的[[密文]]的大小,并在同时诱导浏览器发起多个精心设计的到目标网站的连接。攻击者会观察已压缩请求载荷的大小,其中包括两个浏览器只发送到目标网站的私密Cookie,以及攻击者创建的变量内容。当压缩内容的大小降低时,攻击者可以推断注入内容的某些部分与源内容的某些部分匹配,其中包括攻击者想要发掘的私密内容。使用[[分治法]]技术可以用较小的尝试次数解读真正秘密的内容,需要恢复的字节数会大幅降低。<ref name="fisher2012-09-13"/><ref>{{Cite web|url=http://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor/19914|title=CRIME - How to beat the BEAST successor?|accessdate=September 13, 2012|date=September 8, 2012|publisher=StackExchange.com}}</ref> |
||
CRIME利用方法由安全研究人员Juliano Rizzo和Thai Duong创建,他们还创建了[[ |
CRIME利用方法由安全研究人员Juliano Rizzo和Thai Duong创建,他们还创建了[[传输层安全协议|BEAST]]利用方法。<ref name="goodin2012-09-13"/>此利用方法在2012年{{tsl|en|Ekoparty|ekoparty}}安全会议上完全展示。<ref>{{Cite web||title=The CRIME attack|accessdate=September 21, 2012|last=Rizzo|first=Juliano|publisher=Ekoparty|first2=Thai|last2=Duong|via=Google Docs}}</ref>Rizzo和Duong指出,CRIME是一种通用攻击,可以对众多协议进行有效攻击,包括但不限于SPDY(始终压缩请求头)、TLS(可能压缩记录)和HTTP(可能压缩响应)。 |
||
== 避免 == |
== 避免 == |
||
第13行: | 第13行: | ||
==== 缓解 ==== |
==== 缓解 ==== |
||
截至2012年9月,针对SPDY和TLS层压缩的CRIME利用方法在最新版本的[[Google Chrome|Chrome]]和[[Firefox]]浏览器中已做缓解。[[微软]]已确认其[[Internet Explorer]]浏览器不会受到此攻击,因为其浏览器不支持SPDY和TLS压缩。<ref name="goodin2012-09-13"/>一些网站已自行应用对策。<ref>{{Cite web|url=http://www.theregister.co.uk/2012/09/14/crime_tls_attack/|title=The perfect CRIME? New HTTPS web hijack attack explained|accessdate=September 16, 2012|date=September 14, 2012|last=Leyden|first=John|work=The Register |
截至2012年9月,针对SPDY和TLS层压缩的CRIME利用方法在最新版本的[[Google Chrome|Chrome]]和[[Firefox瀏覽器|Firefox]]浏览器中已做缓解。[[微软]]已确认其[[Internet Explorer]]浏览器不会受到此攻击,因为其浏览器不支持SPDY和TLS压缩。<ref name="goodin2012-09-13"/>一些网站已自行应用对策。<ref>{{Cite web|url=http://www.theregister.co.uk/2012/09/14/crime_tls_attack/|title=The perfect CRIME? New HTTPS web hijack attack explained|accessdate=September 16, 2012|date=September 14, 2012|last=Leyden|first=John|work=The Register}}</ref>[[nginx]]网页服务器从使用[[OpenSSL]] 1.0.0+的1.0.9/1.1.6(2011年10月/11月)和使用所有OpenSSL版本的1.2.2/1.3.2(2012年6月/7月)起不会受到此攻击。<ref>{{Cite web|url=http://mailman.nginx.org/pipermail/nginx/2012-September/035600.html|title=Nginx mailing list: crime tls attack|accessdate=July 11, 2013|date=September 26, 2012|last=Sysoev|first=Igor|publisher=nginx.org}}</ref> |
||
应注意的是,截至2013年12月,针对[[HTTP压缩]]的CRIME利用并未完全缓解。Rizzo和Duong已警告此漏洞的适用范围可能比SPDY和TLS压缩更加普遍。 |
应注意的是,截至2013年12月,针对[[HTTP压缩]]的CRIME利用并未完全缓解。Rizzo和Duong已警告此漏洞的适用范围可能比SPDY和TLS压缩更加普遍。 |
||
== BREACH == |
== BREACH == |
||
在2013年8月的{{tsl|en|Black_Hat_Briefings|Black Hat}}会议上,研究员Gluck、Harris和Prado宣布了一个CRIME利用方法的变体,它针对HTTP压缩,称之为{{tsl|en|BREACH_(security_exploit)|BREACH}}(全称:Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext的缩写,意为“通过自适应超文本压缩做浏览器侦听和渗透”)。它通过攻击网页服务器为减少网络流量内置的HTTP数据压缩来解读HTTPS私密信息。<ref>{{Cite news|url=http://arstechnica.com/security/2013/08/gone-in-30-seconds-new-attack-plucks-secrets-from-https-protected-pages/|title=Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages|last=Goodin|first=Dan|date=August 1, 2013|accessdate=2016-07-09 |
在2013年8月的{{tsl|en|Black_Hat_Briefings|Black Hat}}会议上,研究员Gluck、Harris和Prado宣布了一个CRIME利用方法的变体,它针对HTTP压缩,称之为{{tsl|en|BREACH_(security_exploit)|BREACH}}(全称:Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext的缩写,意为“通过自适应超文本压缩做浏览器侦听和渗透”)。它通过攻击网页服务器为减少网络流量内置的HTTP数据压缩来解读HTTPS私密信息。<ref>{{Cite news|url=http://arstechnica.com/security/2013/08/gone-in-30-seconds-new-attack-plucks-secrets-from-https-protected-pages/|title=Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages|last=Goodin|first=Dan|date=August 1, 2013|accessdate=2016-07-09}}</ref> |
||
== 参考资料 == |
== 参考资料 == |
||
{{ |
{{reflist}} |
||
{{TLS和SSL}} |
{{TLS和SSL}} |
||
第29行: | 第29行: | ||
[[Category:数据压缩]] |
[[Category:数据压缩]] |
||
[[Category:选择明文攻击]] |
[[Category:选择明文攻击]] |
||
[[Category: |
[[Category:传输层安全协议]] |