新的HTTPS漏洞可能会泄露您的数据
意大利威尼斯大学Università Ca’ Foscari Venezia和奥地利维也纳技术大学Tu Wien University 的研究人员发现,由于加密漏洞,使用HTTPS的10,000多个顶级网站仍然容易受到攻击。
HTTPS(超文本传输协议安全)在几年前取代了HTTP,目前大多数顶级站点都在使用它,但它仍然不安全。HTTPS应该保护用户免受中间人攻击,并且不允许黑客访问您的密码、历史记录和其他数据。
新的研究表明,一些使用HTTPS来保护用户和Web服务器之间连接的网站仍然会向黑客暴露一些用户数据。在分析的10000个使用HTTPS的站点中,有5.5%使用传输层安全性或TLS来加密通信是脆弱的。
我们在5574台主机(5.5%)中发现了TLS漏洞:
- 4818个易受MITM攻击
- 733个容易被完全解密
- 912个容易被部分解密
攻击者可以利用这些漏洞窃取cookie中的信息。攻击者几乎可以访问浏览器和服务器之间交换的任何数据。值得注意的是,测试的10,00个网站也与大约91000个域名相关联。这些漏洞也可能会影响这些网站。在10000个网站中,898个网站完全容易受到攻击,并且发现整个数据都被泄露了。其他977网站的页面完整性非常低,这也是一个大问题。
当用户访问这些网站时,HTTPS的绿色挂锁仍将显示在地址栏中。 TLS中的错误很难被发现,但它们仍然存在并且可能被利用。研究人员使用TLS分析技术分析了前10000个网站。他们使用Alexa的排名表来查找这些网站。该研究论文将在将于5月在旧金山举行的第40届IEEE安全与隐私研讨会上发表。