意大利威尼斯CA'Foscari大学和奥地利Tu Wien大学的研究人员发现,超过10000个使用HTTPS的顶级网站仍然容易受到传输层安全漏洞的攻击。HTTPS(超文本传输协议安全)在几年前取代了HTTP,目前大多数顶级网站都在使用它,但是发现它仍然不安全。 HTTPS应该保护用户免受中间人攻击,并且不允许黑客访问您的密码,历史记录和其他数据。
新的研究表明,某些使用HTTPS来保护用户和Web服务器之间连接的网站仍然将一些用户数据暴露给黑客。在被分析的10000个网站中,约5.5%的网站容易受到攻击。HTTPS使用传输层安全性或TLS加密通信。但是,有些网站没有正确实施此协议。这些网站未能使用TLS修复一些已知错误。
当用户访问这些网站时,HTTPS的绿色挂锁锁仍然会出现在地址栏中。TLS中的错误很难被检测到,但它们仍然存在,并且可能被利用。研究人员使用TLS分析技术来分析前10000个网站。他们使用Alexa的排名表来查找这些网站。该研究论文将在第四十届IEEE安全与隐私研讨会上发表,该研讨会将于5月在旧金山举行。
攻击者可以使用这些漏洞来解密来自cookie的信息。虽然cookie不会向攻击者提供任何敏感信息,但还有其他缺陷。攻击者可以访问浏览器和服务器之间交换的几乎所有数据。值得注意的是,被测试的10000个网站也链接到了大约91000个域名。这些漏洞也可能影响这些网站。在10000个网站中,898个网站完全易受攻击,整个数据被发现受到破坏。另外977个网站的页面完整性很低,这也是一个很大的问题。
*来源:cnBeta.COM
更多资讯
◈ 在没有回应后 安全研究人员公开普联路由器 0day 漏洞
Google 安全工程师 Matthew Garrett 公开了普联(TP-Link)SR20 智能家庭路由器允许来自本地网络连接的任意命令执行漏洞。他在 90 天前就通知了普联,但至今没有收到任何回应,因此现在正式公开。他公开了 PoC 漏洞利用代码,允许用户在设备上以 root 权限执行任意命令。
来源:solidot.org
详情:http://t.cn/Ei7WZi8
◈ 曾入侵著名运动员和说唱歌手苹果帐户的黑客认罪
据外媒The Verge报道,当地时间周三,一名曾入侵著名运动员和说唱歌手苹果帐户的格鲁吉亚男子认罪,他还承认使用受害者的帐户花费了数千美元。
来源:cnBeta.COM
详情:http://t.cn/Ei7WURA
◈ 网信办发布第一批197个境内区块链信息服务备案编号
3月30日晚间消息,据中国网信网3月30日消息,国家互联网信息办公室发布第一批境内区块链信息服务备案编号。(第一批境内区块链信息服务备案清单)2019年2月15日《区块链信息服务管理规定》(以下简称《管理规定》)正式实施以来,国家互联网信息办公室依法依规组织开展备案审核工作。
来源:中国网信网
详情:http://t.cn/Ei7WtYd
◈ 新加坡捐血者资料可能已泄露 警方已介入调查
(早报讯) 超过80万名捐血者的姓名、身份证号码、性别和血型等资料被挂上有互联网连接的服务器,证实在去年10月至今年3月间被几台电脑侵入,捐血者数据可能已被渗漏(exfiltrate)。
来源:新加坡早报
详情:http://t.cn/Ei7Wx54
(信息来源于网络,安华金和搜集整理)