fbpx
维基百科

CRIME

十二月 23, 2023

CRIME(英語:Compression Ratio Info-leak Made Easy,意思为:压缩率使信息容易泄露)是一种可攻击安全隐患(Exploit),通过它可窃取启用数据压缩特性的HTTPSSPDY协议传输的私密Web Cookie[1][2]在成功解读身份验证Cookie后,攻击者可以实行会话劫持和发动进一步攻击。CRIME被分配为CVE-2012-4929。[3]

细节 编辑

此漏洞立足于选择明文攻击配合数据压缩无意间造成的信息泄露英语Information_leakage,类似密码学家John Kelsey英语John_Kelsey_(cryptanalyst)在2002年所述的方式。[4]它依赖于攻击者能观察浏览器发送的密文的大小,并在同时诱导浏览器发起多个精心设计的到目标网站的连接。攻击者会观察已压缩请求载荷的大小,其中包括两个浏览器只发送到目标网站的私密Cookie,以及攻击者创建的变量内容。当压缩内容的大小降低时,攻击者可以推断注入内容的某些部分与源内容的某些部分匹配,其中包括攻击者想要发掘的私密内容。使用分治法技术可以用较小的尝试次数解读真正秘密的内容,需要恢复的字节数会大幅降低。[2][5]

CRIME利用方法由安全研究人员Juliano Rizzo和Thai Duong创建,他们还创建了BEAST利用方法。[1]此利用方法在2012年ekoparty英语Ekoparty安全会议上完全展示。[6]Rizzo和Duong指出,CRIME是一种通用攻击,可以对众多协议进行有效攻击,包括但不限于SPDY(始终压缩请求头)、TLS(可能压缩记录)和HTTP(可能压缩响应)。

避免 编辑

CRIME可以被禁用压缩挫败,无论是在客户端的浏览器中禁用压缩,还是由网站根据TLS的协商特性阻止使用数据压缩。

漏洞 编辑

缓解 编辑

截至2012年9月,针对SPDY和TLS层压缩的CRIME利用方法在最新版本的ChromeFirefox浏览器中已做缓解。微软已确认其Internet Explorer浏览器不会受到此攻击,因为其浏览器不支持SPDY和TLS压缩。[1]一些网站已自行应用对策。[7]nginx网页服务器从使用OpenSSL 1.0.0+的1.0.9/1.1.6(2011年10月/11月)和使用所有OpenSSL版本的1.2.2/1.3.2(2012年6月/7月)起不会受到此攻击。[8]

应注意的是,截至2013年12月,针对HTTP压缩的CRIME利用并未完全缓解。Rizzo和Duong已警告此漏洞的适用范围可能比SPDY和TLS压缩更加普遍。

BREACH 编辑

在2013年8月的Black Hat英语Black_Hat_Briefings会议上,研究员Gluck、Harris和Prado宣布了一个CRIME利用方法的变体,它针对HTTP压缩,称之为BREACH英语BREACH_(security_exploit)(全称:Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext的缩写,意为“通过自适应超文本压缩做浏览器侦听和渗透”)。它通过攻击网页服务器为减少网络流量内置的HTTP数据压缩来解读HTTPS私密信息。[9]

参考资料 编辑

  1. ^ 1.0 1.1 1.2 Goodin, Dan. Crack in Internet's foundation of trust allows HTTPS session hijacking. Ars Technica. September 13, 2012 [September 13, 2012]. (原始内容于2014-06-21). 
  2. ^ 2.0 2.1 Fisher, Dennis. . ThreatPost. September 13, 2012 [September 13, 2012]. (原始内容存档于2014-04-10). 
  3. ^ 存档副本. [2016-07-09]. (原始内容于2016-08-03). 
  4. ^ Kelsey, J. Compression and Information Leakage of Plaintext. Fast Software Encryption. Lecture Notes in Computer Science 2365. 2002: 263 [2016-07-09]. ISBN 978-3-540-44009-3. doi:10.1007/3-540-45661-9_21. (原始内容于2016-03-28). 
  5. ^ CRIME - How to beat the BEAST successor?. StackExchange.com. September 8, 2012 [September 13, 2012]. (原始内容于2016-09-13). 
  6. ^ Rizzo, Juliano; Duong, Thai. The CRIME attack. Ekoparty. [September 21, 2012]. (原始内容于2016-04-21) –通过Google Docs. 
  7. ^ Leyden, John. The perfect CRIME? New HTTPS web hijack attack explained. The Register. September 14, 2012 [September 16, 2012]. (原始内容于2016-08-03). 
  8. ^ Sysoev, Igor. Nginx mailing list: crime tls attack. nginx.org. September 26, 2012 [July 11, 2013]. (原始内容于2016-07-02). 
  9. ^ Goodin, Dan. Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages. August 1, 2013 [2016-07-09]. (原始内容于2014-07-01). 

十二月 23, 2023
crime, 此條目翻譯自其他語言維基百科, 需要相關領域的編者協助校對翻譯, 如果您精通本領域, 又能清楚地將來源語言翻譯為中文, 歡迎您協助校訂翻譯, 原文参见维基数据, 英語, compression, ratio, info, leak, made, easy, 意思为, 压缩率使信息容易泄露, 是一种可攻击安全隐患, exploit, 通过它可窃取启用数据压缩特性的https或spdy协议传输的私密web, cookie, 在成功解读身份验证cookie后, 攻击者可以实行会话劫持和发动进一步攻击, 被分. 此條目翻譯自其他語言維基百科 需要相關領域的編者協助校對翻譯 如果您精通本領域 又能清楚地將來源語言翻譯為中文 歡迎您協助校訂翻譯 原文参见维基数据 CRIME 英語 Compression Ratio Info leak Made Easy 意思为 压缩率使信息容易泄露 是一种可攻击安全隐患 Exploit 通过它可窃取启用数据压缩特性的HTTPS或SPDY协议传输的私密Web Cookie 1 2 在成功解读身份验证Cookie后 攻击者可以实行会话劫持和发动进一步攻击 CRIME被分配为CVE 2012 4929 3 目录 1 细节 2 避免 2 1 漏洞 2 1 1 缓解 3 BREACH 4 参考资料细节 编辑此漏洞立足于选择明文攻击配合数据压缩无意间造成的信息泄露 英语 Information leakage 类似密码学家John Kelsey 英语 John Kelsey cryptanalyst 在2002年所述的方式 4 它依赖于攻击者能观察浏览器发送的密文的大小 并在同时诱导浏览器发起多个精心设计的到目标网站的连接 攻击者会观察已压缩请求载荷的大小 其中包括两个浏览器只发送到目标网站的私密Cookie 以及攻击者创建的变量内容 当压缩内容的大小降低时 攻击者可以推断注入内容的某些部分与源内容的某些部分匹配 其中包括攻击者想要发掘的私密内容 使用分治法技术可以用较小的尝试次数解读真正秘密的内容 需要恢复的字节数会大幅降低 2 5 CRIME利用方法由安全研究人员Juliano Rizzo和Thai Duong创建 他们还创建了BEAST利用方法 1 此利用方法在2012年ekoparty 英语 Ekoparty 安全会议上完全展示 6 Rizzo和Duong指出 CRIME是一种通用攻击 可以对众多协议进行有效攻击 包括但不限于SPDY 始终压缩请求头 TLS 可能压缩记录 和HTTP 可能压缩响应 避免 编辑CRIME可以被禁用压缩挫败 无论是在客户端的浏览器中禁用压缩 还是由网站根据TLS的协商特性阻止使用数据压缩 漏洞 编辑 缓解 编辑 截至2012年9月 针对SPDY和TLS层压缩的CRIME利用方法在最新版本的Chrome和Firefox浏览器中已做缓解 微软已确认其Internet Explorer浏览器不会受到此攻击 因为其浏览器不支持SPDY和TLS压缩 1 一些网站已自行应用对策 7 nginx网页服务器从使用OpenSSL 1 0 0 的1 0 9 1 1 6 2011年10月 11月 和使用所有OpenSSL版本的1 2 2 1 3 2 2012年6月 7月 起不会受到此攻击 8 应注意的是 截至2013年12月 针对HTTP压缩的CRIME利用并未完全缓解 Rizzo和Duong已警告此漏洞的适用范围可能比SPDY和TLS压缩更加普遍 BREACH 编辑在2013年8月的Black Hat 英语 Black Hat Briefings 会议上 研究员Gluck Harris和Prado宣布了一个CRIME利用方法的变体 它针对HTTP压缩 称之为BREACH 英语 BREACH security exploit 全称 Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext的缩写 意为 通过自适应超文本压缩做浏览器侦听和渗透 它通过攻击网页服务器为减少网络流量内置的HTTP数据压缩来解读HTTPS私密信息 9 参考资料 编辑 1 0 1 1 1 2 Goodin Dan Crack in Internet s foundation of trust allows HTTPS session hijacking Ars Technica September 13 2012 September 13 2012 原始内容存档于2014 06 21 2 0 2 1 Fisher Dennis CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions ThreatPost September 13 2012 September 13 2012 原始内容存档于2014 04 10 存档副本 2016 07 09 原始内容存档于2016 08 03 Kelsey J Compression and Information Leakage of Plaintext Fast Software Encryption Lecture Notes in Computer Science 2365 2002 263 2016 07 09 ISBN 978 3 540 44009 3 doi 10 1007 3 540 45661 9 21 原始内容存档于2016 03 28 CRIME How to beat the BEAST successor StackExchange com September 8 2012 September 13 2012 原始内容存档于2016 09 13 Rizzo Juliano Duong Thai The CRIME attack Ekoparty September 21 2012 原始内容存档于2016 04 21 通过Google Docs Leyden John The perfect CRIME New HTTPS web hijack attack explained The Register September 14 2012 September 16 2012 原始内容存档于2016 08 03 Sysoev Igor Nginx mailing list crime tls attack nginx org September 26 2012 July 11 2013 原始内容存档于2016 07 02 Goodin Dan Gone in 30 seconds New attack plucks secrets from HTTPS protected pages August 1 2013 2016 07 09 原始内容存档于2014 07 01 取自 https zh wikipedia org w index php title CRIME amp oldid 64764592, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。