研究发现基于 XMPP协议的社交软件面临严重窃听风险

已于 2024-01-05 19:37:20 修改
阅读量52 收藏
点赞数
文章标签: php 网络 开发语言 web安全 网络安全 系统安全 ddos
于 2023-10-31 22:28:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jennycisp/article/details/134150822
版权

在这里插入图片描述

据The Hacker News消息,一名安全研究人员近日声称,他发现有人试图利用托管在德国Hetzner和Linode(Akamai的子公司)的服务器,秘密拦截来自基于XMPP的即时消息服务jabber[.]ru(又名xmpp[.]ru)的流量。

XMPP是一种以XML为基础的开放式即时通信协议,具有超强的可扩展性。经过扩展后的XMPP可以通过发送扩展的信息来处理用户需求,以及在XMPP的顶端建立如内容发布系统和基于地址的服务等应用程序。

这位化名为 ValdikSS 的安全研究人员表示:攻击者使用 Let’s Encrypt 服务发布了几个新的 TLS 证书,这些证书被用于使用透明中间人攻击(MITM)代理,劫持 5222 端口上的加密 STARTTLS 连接。这次攻击是由于其中一个 MiTM 证书过期而被发现的,该证书尚未重新认证。

目前收集到的证据表明,流量重定向是在上述托管服务提供商网络上配置,排除了如服务器漏洞或诱骗攻击等其他可能性。研究人员已经证实的窃听活动至少从 2023 年 7 月 21 日开始,一直持续到 2023 年 10 月 19 日。但攻击者的首次窃听活动可能从 2023 年 4 月 18 日就已开始。

而攻击者的行迹首次暴露于 2023 年 10 月 16 日,当时一名 UNIX 管理员在连接该服务时收到了一条 "证书已过期 "的消息。据了解,在 2023 年 10 月 18 日开始调查这起MITM攻击事件后,攻击者停止了活动。目前还不清楚谁是这次攻击的幕后黑手。有专家认为,这起攻击是对 Hetzner 和 Linode 内部网络的入侵,特别是针对 jabber[.]ru。

研究人员说表示,鉴于拦截的性质,攻击者能够在不知道账户密码的情况下执行任何操作,这意味着攻击者可以下载账户名册、未加密的服务器端消息历史记录、发送新消息或实时更改消息。

The Hacker News建议该服务的用户检查他们账户中的 PEP 存储是否有新的未经授权的 OMEMO 和 PGP 密钥,并更改密码。

公民实验室(The Citizen Lab)详细介绍了移动网络运营商用于国际漫游的信令协议中存在的安全漏洞,监控人员、执法人员和有组织犯罪团伙可以利用这些漏洞对设备进行地理定位。

更有甚者,解析 ASN.1 消息的漏洞(CVE-2022-43677,CVSS 得分:5.5)可能被用作攻击载体,从用户平面跨越到控制平面,甚至破坏依赖于 5G 技术的关键基础设施。趋势科技研究员 Salim S.I. 在本月发布的一份报告中表示,CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 实现,通过用户流量触发控制平面拒绝服务(DoS)。

对核心数据包的DoS 攻击会破坏整个网络的连接。在国防、警务、采矿和交通管制等关键领域,连接中断可能导致可怕的后果。

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全技术库
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于XMPP协议的XML数据流压缩模型研究
10-16
《基于XMPP协议的XML数据流压缩模型研究XMPP协议,全称为可扩展消息和存在协议(Extensible Messaging and Presence Protocol),是一种基于XML数据流的即时通信协议。它被广泛应用于构建高效且统一的智能家居...
论文研究-基于XMPP协议的即时通信系统服务器集群的研究 .pdf
08-21
XMPP(可扩展消息和出席协议,Extensible Messaging and Presence Protocol)是一个开放的、基于XML的数据模型和协议,它允许在分布式网络中传输即时消息和进行在线发现,是实现即时通信服务协议统一的关键。...
XMPP 协议适合用来做移动 IM 么
fatigue的专栏
01-05 317
XMPP 协议是什么 XMPP(Extensible Messaging and Presence Protocol,前称Jabber)是一种以 XML 为基础的开放式实时通信协议,关于它的协议细节,网上已经有太多分析文章,我这里就不再赘述(而且,我也不可能比别人解释的更清楚)。简单来看这个协议,我们只需要知道: 1,XMPP 的三种基本角色:客户端、服务器和网关,通信能够在这三者的任意两个之
XMPP——xmpp协议详解、优点、缺点及优化思路
weixin_34109408的博客
04-01 969
XMPP(Extensible Messaging and Presence Protocol,前称Jabber)协议介绍 可扩展消息处理现场协议(eXtensible Messaging and Presence Protocol , XMPP) 是一种基于可扩展标记语言(eXtensible Markup Language, XML)的近端串流式即时通信协议。它将现场和上...
XMPP的优点和不足
hunter800421的专栏
04-25 1702
XMPP概览 3月份刚换了工作,入职之后新东家让我负责IM SDK的维护和重构工作。想起8年前曾经也搞过一段时间IM,当时是基于XMPP协议做的二次开发。时间又过了将近十年,时代在发展,技术在进步,如今可以考虑重新研究一下xmpp协议,毕竟这是唯一开源的IM协议,它山之石可以攻玉。 XMPP的特点 闲言少叙,书归正传,我们先来看看xmpp的一些基本特点。 xmpp官方对xmpp的定义是:“XMP...
XMPP协议的原理介绍
热门推荐
保卫的专栏
04-19 14万+
XMPP(可扩展消息处理现场协议)是基于可扩展标记语言(XML)的协议,它用于即时消息(IM)以及在线现场探测。它在促进服务器之间的准即时操作。这个协议可能最终允许因特网用户向因特网上的其他任何人发送即时消息,即使其操作系统和浏览器不同。  XMPP的前身是Jabber,一个开源形式组织产生的网络即时通信协议XMPP目前被IETF国际标准组织完成了标准化工作。标准化的核心结果分为两部分;
XMPP协议XMPP协议的优点和缺点
CPP工程师的专栏
10-29 1万+
XMPP协议的优点和缺点 优点 开放 XMPP协议是自由、开放、公开的,并且易于了解。 而且在客户端 、 服务器 、 组件 、 源码库等方面,都已经各自有多种实现。 标准 互联网工程工作小组( IETF )已经将Jabber的核心XML流协议XMPP之名,正式列为认可的实时通信及Presence技术。 而XMPP的技术规格已被定义在RFC 3920及RFC 39
基于XMPP 协议的聊天客户端.zip
03-28
XMPP,全称为可扩展消息处理现场协议,是一种基于XML的即时通讯协议。它的设计目标是为用户提供实时、双向且安全的通信能力。XMPP最初由Jabber项目开发,后来被互联网工程任务组(IETF)标准化,并发布为RFC 6120、...
基于XMPP协议的Android移动导航定位应用系统设计
07-26
基于XMPP协议的Android移动导航定位应用系统,通过集成位置服务、电子地图技术与即时通信协议,实现了实用且高效的移动导航定位解决方案。系统设计利用了Android平台的开发便捷性和LBS技术的成熟度,通过C/S架构确保...
Android中基于XMPP协议实现IM聊天程序与多人聊天室
01-04
由于项目需要做一个基于XMPP协议的Android通讯软件。故开始研究XMPPXMPP协议采用的是客户端-服务器架构,所有从一个客户端发到另一个客户端的消息和数据都必须经过XMPP服务器转发,而且支持服务器间DNS的路由,也...
基于XMPP的即时通信系统的建立(二)— XMPP详解
a1752807634的博客
12-29 513
XMPP详解 XMPP(eXtensible Messaging and Presence Protocol,可扩展消息处理和现场协议)是一种在两个地点间传递小型结构化数据的协议。在此基础上,XMPP协议已经被用来构建大规模即时通信系统、游戏平台、协作空间及语音和视频会议系统。 XMPP由几个小的构造块组成,并在此基础上扩展出了更多的构造块。XMPP中有众多系统:发布-订阅服务、多人...
XMPP基本概念
章志强的专栏
10-26 1261
概述 XMPP是一个开放式的XML协议,设计用于准实时消息和出席信息以及请求-响应服务。 通用的架构 通常采用客户端服务器架构进行实现,其中客户端通过TCP方式使用XMPP访问服务器,服务器之间也采用TCP方式进行通信。 xmpp通用架构 服务器 充当xmpp通信的一个智能抽象层,负责 对受验证的客户端,服务器以及其他实体之间以xml流的形式的连接和会话进行管理。在这
xmpp协议(即时通信协议规范)
xiaoliuliu2050的专栏
01-09 6934
转载自https://www.cnblogs.com/jiyuqi/p/5085932.html 相关背景 IM(Instant Messaging)正在被广泛使用,特别是公司与它们的客户互动连接方案以及互联网与Web2.0相关的应用。为了解决即时通信的标准问题,IETF(互联网工程任务组 The Internet Engineering Task Force)成立了专门的小组、研究开发I...
XMPP协议详解
caixiaobai_1的博客
04-20 7446
1、XMPP的基本网络结构是怎样? xmpp中定义了三个角色,客户端、服务器和网关;通讯可以在这三者之间的任意两者中进行双向进行。服务器同时承担了客户端的信息记录,连接管理和信息的路由功能。网关承担着与异构即时通信系统的互联互通,异构系统可以包括SMS(短信),MSN,ICQ等。基本的网络形式是单客户端通过TCP/IP连接到单服务器,然后在之上传输XML。 2、XMPP协议网络架构: ...
XMPP协议简介[转载]
yhawaii的专栏
08-29 5464
1. 简介 XMPP来源于Jabber开源社区,基于XML,提供准实时的传递消息、在线状态和请求/响应服务。XMPP使用客户/服务模式,服务器之间能够相互连接,建立在面向连接的协议上,通常是TCP。 下图概要描述了XMPP架构: 以黑色线条连接的方框是XMPP的客户端和服务器,要注意的是XMPP客户端之间不能相互连接,这是一个严格的客户/服务器模型。客户端2和服务器1通过网关接入异构
文件上传-.user.ini利用
最新发布
feiwujiushiwo的博客
08-13 235
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
基于XMPP协议的多方通信平台设计与实现研究
本论文的主要内容是基于XMPP协议和发布订阅模式设计和实现了一个多方通信平台。该平台可以实现多种类型的通信应用,包括数据、信令、媒体等,并且具有开放性、分布性、协作性和动态性。 知识点1:XMPP协议 XMPP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全技术库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值