Forbidden Attack:7万台web服务器陷入被攻击的险境

原创 2016年05月31日 14:52:44

一些受VISA HTTPS保护的站点,因为存在漏洞容易受到Forbidden攻击,有将近70,000台服务器处于危险之中。

一种被称为“Forbidden攻击”的新攻击技术揭露许多HTTPS签证网站容易受到网络攻击,大约70,000台服务器处于危险之中。一群国际研究人员(Hanno Böck, Aaron Zauner, Sean Devlin, Juraj Somorovsky, and Philipp Jovanovic)发现该威胁动作可以向访问者的浏览器中注入恶意代码和伪造内容。

该组织已经发表了一篇题为“Nonce-Disrespecting对手:在TLS中对GCM的实用的伪造攻击”的文章。

专家已经发现有184台服务器受到了攻击,其中的一些属于德国证交所德意志交易所和波兰银行业协会Zwizek Bankow Polskich。
这种攻击利用并不新鲜,事实上这种攻击利用已经有至少十年的时间了,但很显然,它已经被遗忘了。Forbidden攻击的漏洞利用证据是十分确凿的,研究人员还现场演示了如何利用它来攻击加密通信。

包括德意志交易所的一些组织已经解决了这个问题, 但是Visa和Zwizek Bankow Polskich仍然是易受攻击的。

该漏洞是由TLS协议中在数据加密时重用相同的随机数引起的。nonce重用为Forbidden攻击打开了大门,黑客可以利用它来生成用于对网站内容进行身份验证的关键材料。

使用相同的nonce使得当浏览器第一次连接到一个HTTPS保护的站点时,威胁活动可以很容易地通过与攻击者共享的传输通道注入伪造的内容 (比如,在一个未加密的无线网络中,攻击者在同一个局域网段)。

此时,篡改的传输不会触发任何可疑行为来提醒受害者。

研究人员在他们发表的论文中这样写道:“在他给NIST Joux[18]的评论中描述了一个由于nonce重用而针对GCM的攻击。这种攻击允许攻击者学习认证密钥和伪造信息。因为nonce的唯一性是典型的密码分析的基本原则,所以Joux称他的攻击为“Forbidden攻击”。不过,它强调了一个在实际实现时重要的失效模式。只要这个nonce被重用了一次并且被我们用来实施了一个针对HTTPS的实用的伪造攻击,这将带来严重的真实性的失效问题。”

黑客可以运行一个Forbidden攻击来篡改通讯和添加恶意的JavaScript代码或添加用于欺诈活动的Web内容。

研究人员在线发布的一个概念验证利用代码显示了攻击的可行性,他们还发布了一个攻击脆弱的Visa网站的视频(https://youtu.be/qByIrRigmyo)。

Forbidden Attack:7万台web服务器陷入被攻击的险境

专家们注意到,通过给予足够的web请求,那些易受攻击的网站会有很高的概率重用nonce,他们估计,对于一个成功的攻击来说需要的请求数量仍然极高。

论文中的一个表格显示,其中包括nonce碰撞的概率在目前的64位大小上是2n。专家们发现,大约230个请求时的概率是3%,235个请求时可以有100%的几率。

Forbidden Attack:7万台web服务器陷入被攻击的险境

研究人员进行的这项研究被分成多个子任务,最初他们扫描网络寻找目标,然后他们试图找到易受攻击的那些。

“我们针对网络连接设备的评估一直被分成多个子任务。最初是发现扫描,紧接着漏洞扫描发现目标设备上使用不同参数的时间跨度约为18天。在本节中,我们描述了在我们的评估中用于发现和分析网络连接设备的方法。”这篇论文中写道。

在被研究人员发现的这70000个网站中,专家们发现了几个有缺陷的TLS实现,其中一个在IBM的Domino Web服务器上,另一个在Radware的负载平衡器上,这两个目前都已经被修复了。

结语

对于企业而言最重要的资产就是应用程序和其中的数据,现有常用的防护手段包括基础设施保护和边界防护,比如防火墙/WAF/IPS等。

  • 其一,边界防护是对网络访问和内容进行检查,这些保护措施并不清楚应用程序的行为:内部逻辑和数据处理过程,因此缺乏保护的精确性。
  • 其二,边界技术“天真”的认为程序内部是安全的,不安全因素来自外部。但从过去几年的经验中得出,最具毁灭性的攻击,恰恰来自内部,甚至是企业所信赖的员工。这正是边界技术的软肋。
  • 其三,过去一段时间的数据表明,明显网络边界逐渐消失。随着互联网的发展,越来越多的消费者开始向云端靠拢,他们更多的工作都是在企业外部完成的,边界技术难以针对这种变化环境提出有效的保护。

RASP,Runtime Application Self-protection,实时应用自我防护,是一种最新的应用层防护技术。能够克服上述问题,在运行时环境结合应用上下文防护,代码级定位漏洞,完爆Forbidden Attack等常见攻击。

版权声明:本文为博主原创文章,未经博主允许不得转载。

真实案例:网站遭遇DOS攻击

 网站遭遇DOS攻击 一、事件背景     长假对于IT人员来说是个短暂的休整时期,可IT系统却一时也不能停,越是节假日,越可能出大问题,下面要讲述的就是一起遭受DOS攻击的案例。    ...
  • lcgweb
  • lcgweb
  • 2014年10月23日 15:30
  • 1410

ASP----HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容。

ASP----HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容。
  • lxy344x
  • lxy344x
  • 2014年12月08日 16:18
  • 5261

解决【HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容】

【硬件环境】:IIS7.5。 【详细错误】:HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容. 【解决办法】:IIS管理器->对应的应用程...
  • a6225301
  • a6225301
  • 2014年03月16日 13:25
  • 2635

发布mvc3报错:403.14-Forbidden Web 服务器被配置为不列出此目录的内容

发布Asp.net mvc3报错:403.14-Forbidden Web 服务器被配置为不列出此目录的内容 提示里面的解决方法 ·         如果不希望启用目录浏览,请确保配置了默认文档并...
  • jurken
  • jurken
  • 2014年11月26日 15:22
  • 1200

针对WEB服务器的攻击途径和防范措施

对策: 1:停止运行不需要的软件 2:定期实施漏洞防范措施 3:对不需要对外公开的端口或者服务加以访问限制,      通过端口扫描确认各端口服务状态(工具:Nmap(windows版)) 4:提高认...
  • liufangaliya
  • liufangaliya
  • 2016年08月10日 11:22
  • 1317

IIS 403.14-Forbidden Web 服务器被配置为不列出此目录的内容

发布mvc报错:403.14-Forbidden Web 服务器被配置为不列出此目录的内容 有两个地方需要配置: 1.web.config中的节点: system.webSe...
  • yucaoye
  • yucaoye
  • 2017年03月29日 10:49
  • 1079

使用IIS7.0建站出现“HTTP 错误 403.14 - FORBIDDEN WEB 服务器被配置为不列出此目录的内容”错误的解决方法

本地使用IIS7版本进行ASP建站时,出现了第一个常见的错误,那就是“HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容”,原因是因为未对“目录浏览”设...
  • meunsina
  • meunsina
  • 2013年11月13日 14:35
  • 2339

LINUX web服务器首次被攻击(PHP木马怎么被挂进来的)解决思路

1.通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 2.马上修改文件权限,尽可能小。   修改后台帐号密码。修改mysql管理密码。修改ftp帐号密码。加固防火墙。查看linux用户,删...
  • MiltonZhong
  • MiltonZhong
  • 2013年08月02日 12:32
  • 1645

HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容

应用程序“DEFAULT WEB SITE”中的服务器错误 Internet Information Services 7.5 错误摘要 HTTP 错误 403.14 - Forbidde...
  • sinat_34719507
  • sinat_34719507
  • 2017年03月20日 02:06
  • 6589

【牛腩新闻发布系统】-HTTP错误 403.14 –Forbidden Web服务器被配置为不列出此目录的内容

【背景】 跟着牛腩老师学习牛腩新闻发布系统有一段时间了,遇见问题也不少,但是会'以善小而不为',把这些很好的成长机会给自动忽略了,走着走着,回头发现,以前学过的知识痕迹寥寥,没有留下什么,我这不擅长总...
  • zt15732625878
  • zt15732625878
  • 2016年07月14日 17:16
  • 1116
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Forbidden Attack:7万台web服务器陷入被攻击的险境
举报原因:
原因补充:

(最多只允许输入30个字)