新的HTTPS漏洞可能会泄露您的数据
意大利威尼斯大学Università Ca’ Foscari Venezia和奥地利维也纳技术大学Tu Wien University 的研究人员发现,由于加密漏洞,使用HTTPS的10,000多个顶级网站仍然容易受到攻击。
HTTPS(超文本传输协议安全)在几年前取代了HTTP,目前大多数顶级站点都在使用它,但它仍然不安全。HTTPS应该保护用户免受中间人攻击,并且不允许黑客访问您的密码、历史记录和其他数据。
新的研究表明,一些使用HTTPS来保护用户和Web服务器之间连接的网站仍然会向黑客暴露一些用户数据。在分析的10000个使用HTTPS的站点中,有5.5%使用传输层安全性或TLS来加密通信是脆弱的。
我们在5574台主机(5.5%)中发现了TLS漏洞:
- 4818个易受MITM攻击
- 733个容易被完全解密
- 912个容易被部分解密
攻击者可以利用这些漏洞窃取cookie中的信息。攻击者几乎可以访问浏览器和服务器之间交换的任何数据。值得注意的是,测试的10,00个网站也与大约91000个域名相关联。这些漏洞也可能会影响这些网站。在10000个网站中,898个网站完全容易受到攻击,并且发现整个数据都被泄露了。其他977网站的页面完整性非常低,这也是一个大问题。
当用户访问这些网站时,HTTPS的绿色挂锁仍将显示在地址栏中。 TLS中的错误很难被发现,但它们仍然存在并且可能被利用。研究人员使用TLS分析技术分析了前10000个网站。他们使用Alexa的排名表来查找这些网站。该研究论文将在将于5月在旧金山举行的第40届IEEE安全与隐私研讨会上发表。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址:https://www.linuxidc.com/Linux/2019-03/157829.htm
- Android静态安全检测 -> HTTPS敏感数据劫持漏洞
- WordPress插件W3 Total 缓存数据信息泄露漏洞
- 用ThinkPad的注意了,触摸板驱动可能会有内存泄露
- PPLIVE源代码泄露及两个struts命令执行漏洞
- [置顶] 美国最大医保公司Anthem再遭数据泄露_1.8万用户受影响,你对这有何看法?
- Facebook数据泄露事件解读
- svn源码泄露漏洞
- 不用Https如何实现数据传输安全
- Android 内存泄露测试数据处理--procrank,setprop,getprop(转)
- 重罚716万!国内多家金融机构因数据泄露被行政处罚
- 【每日安全资讯】万豪数据泄露非偶然:预订系统耗费10年却暗藏危机
- 微信支付--工具类--通过Https往API post xml数据
- 使用 Charles 获取 https 的数据
- 格式化字符串漏洞泄露StackCanary
- Apache CloudStack本地信息泄露漏洞
- 大数据24小时:印度国民数据库曝严重漏洞危及11.3亿公民信息,无人驾驶公司Pony.ai获1.12亿融资
- bootstrap-datepicker限定可选时间范围 一、应用场景 实际应用中可能会根据日期字段查询某个日期范围内的数据,则需要对日期选择器可选时间进行限制, 如:开始时间不能大于结束时间,
- 2017年,那些被数据泄露坑到的政府和官员们
- Oracle Database Server 'TNS Listener'远程数据投毒漏洞(CVE-2012-1675)解决
- 【原创】免费申请SSL证书【用于HTTPS,即是把网站从HTTP改为HTTPS,加密传输数据,保护敏感数据】