意大利威尼斯CA’Foscari大學和奧地利Tu Wien大學的研究人員發現,超過10000個使用HTTPS的頂級網站仍然容易受到傳輸層安全漏洞的攻擊。HTTPS(超文本傳輸協議安全)在幾年前取代了HTTP,目前大多數頂級網站都在使用它,但是發現它仍然不安全。 HTTPS應該保護用戶免受中間人攻擊,並且不允許黑客訪問您的密碼,曆史記錄和其他數據。
新的研究表明,某些使用HTTPS來保護用戶和Web服務器之間連接的網站仍然將一些用戶數據暴露給黑客。在被分析的10000個網站中,約5.5%的網站容易受到攻擊。HTTPS使用傳輸層安全性或TLS加密通信。但是,有些網站沒有正確實施此協議。這些網站未能使用TLS修複一些已知錯誤。
當用戶訪問這些網站時,HTTPS的綠色挂鎖鎖仍然會出現在地址欄中。TLS中的錯誤很難被檢測到,但它們仍然存在,並且可能被利用。研究人員使用TLS分析技術來分析前10000個網站。他們使用Alexa的排名表來查找這些網站。該研究論文將在第四十屆IEEE安全與隱私研討會上發表,該研討會將于5月在舊金山舉行。
攻擊者可以使用這些漏洞來解密來自cookie的信息。雖然cookie不會向攻擊者提供任何敏感信息,但還有其他缺陷。攻擊者可以訪問浏覽器和服務器之間交換的幾乎所有數據。值得注意的是,被測試的10000個網站也鏈接到了大約91000個域名。這些漏洞也可能影響這些網站。在10000個網站中,898個網站完全易受攻擊,整個數據被發現受到破壞。另外977個網站的頁面完整性很低,這也是一個很大的問題。
*來源:cnBeta.COM
更多資訊
◈ 在沒有回應後 安全研究人員公開普聯路由器 0day 漏洞
Google 安全工程師 Matthew Garrett 公開了普聯(TP-Link)SR20 智能家庭路由器允許來自本地網絡連接的任意命令執行漏洞。他在 90 天前就通知了普聯,但至今沒有收到任何回應,因此現在正式公開。他公開了 PoC 漏洞利用代碼,允許用戶在設備上以 root 權限執行任意命令。
來源:solidot.org
詳情:http://t.cn/Ei7WZi8
◈ 曾入侵著名運動員和說唱歌手蘋果帳戶的黑客認罪
據外媒The Verge報道,當地時間周三,一名曾入侵著名運動員和說唱歌手蘋果帳戶的格魯吉亞男子認罪,他還承認使用受害者的帳戶花費了數千美元。
來源:cnBeta.COM
詳情:http://t.cn/Ei7WURA
◈ 網信辦發布第一批197個境內區塊鏈信息服務備案編號
3月30日晚間消息,據中國網信網3月30日消息,國家互聯網信息辦公室發布第一批境內區塊鏈信息服務備案編號。(第一批境內區塊鏈信息服務備案清單)2019年2月15日《區塊鏈信息服務管理規定》(以下簡稱《管理規定》)正式實施以來,國家互聯網信息辦公室依法依規組織開展備案審核工作。
來源:中國網信網
詳情:http://t.cn/Ei7WtYd
◈ 新加坡捐血者資料可能已泄露 警方已介入調查
(早報訊) 超過80萬名捐血者的姓名、身份證號碼、性別和血型等資料被挂上有互聯網連接的服務器,證實在去年10月至今年3月間被幾台電腦侵入,捐血者數據可能已被滲漏(exfiltrate)。
來源:新加坡早報
詳情:http://t.cn/Ei7Wx54
(信息來源于網絡,安華金和搜集整理)