Ua hoʻomohala kekahi hui o nā mea noiʻi mai kekahi mau kulanui ma Kelemania i kahi hoʻouka MITM hou ma HTTPS e hiki ke unuhi i nā kuki hālāwai a me nā ʻikepili koʻikoʻi ʻē aʻe, a me ka hoʻokō ʻana i ka code JavaScript arbitrary i loko o ka pōʻaiapili o kahi pūnaewele ʻē aʻe. Kapa ʻia ka hoʻouka kaua ʻana ʻo ALPACA a hiki ke hoʻohana ʻia i nā kikowaena TLS e hoʻokō i nā protocol layer application like ʻole (HTTPS, SFTP, SMTP, IMAP, POP3), akā hoʻohana i nā palapala hōʻoia TLS maʻamau.
ʻO ke kumu o ka hoʻouka ʻana, inā he mana ʻo ia ma luna o kahi ʻīpuka pūnaewele a i ʻole kahi wahi e hiki ai ke kelepona, hiki i ka mea hoʻouka ke hoʻihoʻi hou i nā kaʻa pūnaewele i kahi awa pūnaewele ʻē aʻe a hoʻonohonoho i ka hoʻokumu ʻana i kahi pilina me kahi FTP a i ʻole ka leka uila e kākoʻo ana i ka encryption TLS a hoʻohana i kahi. ʻO ka palapala hōʻoia TLS maʻamau me ka server HTTP , a manaʻo ka polokalamu kele pūnaewele ua hoʻokumu ʻia kahi pilina me ke kikowaena HTTP i noi ʻia. Ma muli o ke ao holoʻokoʻa o ka protocol TLS a ʻaʻole pili ʻia i nā protocol pae noi, ua like ka hoʻokumu ʻana i kahi pilina hoʻopili ʻia no nā lawelawe āpau a hiki ke hoʻoholo ʻia ka hewa o ka hoʻouna ʻana i kahi noi i ka lawelawe hewa wale nō ma hope o ka hoʻokumu ʻana i kahi kau i hoʻopili ʻia i ka wā e hoʻoponopono ai. nā kauoha a ka noi i hoʻouna ʻia.
No laila, inā, no ka laʻana, hoʻihoʻi hou ʻoe i kahi pilina mea hoʻohana i kamaʻilio mua ʻia iā HTTPS i kahi kikowaena leka uila e hoʻohana ana i kahi palapala hōʻoia i kaʻana like me ka server HTTPS, e hoʻokumu ʻia ka pilina TLS, akā ʻaʻole hiki i ka mea leka uila ke hana i ka mea i hoʻouna ʻia. Nā kauoha HTTP a e hoʻihoʻi i kahi pane me ka helu kuhi. E hoʻoponopono ʻia kēia pane e ka polokalamu kele pūnaewele ma ke ʻano he pane mai ka pūnaewele i noi ʻia, i hoʻouna ʻia i loko o kahi kaila kamaʻilio i hoʻopili pono ʻia.
ʻEkolu mau koho hoʻouka ʻia:
- "Hoʻouka" e kiʻi i kahi Kuki me nā ʻāpana hōʻoia. Hoʻohana ʻia ke ala inā hiki i ka server FTP uhi ʻia e ka palapala TLS ke hiki iā ʻoe ke hoʻouka a hoʻihoʻi i kāna ʻikepili. Ma kēia ʻano hoʻouka kaua, hiki i ka mea hoʻouka ke hoʻokō i nā ʻāpana o ka noi HTTP kumu a ka mea hoʻohana, e like me nā ʻike o ke poʻomanaʻo Kuki, no ka laʻana, inā wehewehe ka server FTP i ka noi ma ke ʻano he faila mālama a hoʻopaʻa i nā noi komo holoʻokoʻa. No ka hoʻouka kaua ʻana, pono ka mea hoʻouka e unuhi i ka ʻike i mālama ʻia. Pili ka hoouka ia Proftpd, Microsoft IIS, vsftpd, filezilla a me serv-u.
- "Hoʻoiho" no ka hoʻonohonoho ʻana i ka palapala hōʻailona cross-site (XSS). ʻO ke ala e hōʻike ana i ka mea hoʻouka, ma muli o kekahi mau manipulations pilikino, hiki ke waiho i ka ʻikepili i kahi lawelawe e hoʻohana ana i kahi palapala TLS maʻamau, a laila hiki ke hāʻawi ʻia i pane i kahi noi mea hoʻohana. Hoʻopili ka hoʻouka ʻana i nā kikowaena FTP i ʻōlelo ʻia ma luna, nā kikowaena IMAP a me nā kikowaena POP3 (courier, cyrus, kerio-connect a me zimbra).
- "Noʻonoʻo" e holo i ka JavaScript ma ke ʻano o kahi pūnaewele ʻē aʻe. Hoʻokumu ʻia ke ʻano ma ka hoʻi ʻana i ka ʻāpana o ka mea kūʻai aku o ka noi, aia ka code JavaScript i hoʻouna ʻia e ka mea hoʻouka. Hoʻopili ka hoʻouka ʻana i nā kikowaena FTP i ʻōlelo ʻia ma luna, ka cyrus, kerio-connect a me zimbra IMAP server, a me ka server SMTP sendmail.
No ka laʻana, ke wehe ka mea hoʻohana i kahi ʻaoʻao i hoʻomalu ʻia e ka mea hoʻouka, hiki i kēia ʻaoʻao ke hoʻomaka i kahi noi no kahi kumuwaiwai mai kahi pūnaewele i loaʻa i ka mea hoʻohana kahi moʻokāki ikaika (e laʻa, bank.com). I ka wā hoʻouka MITM, hiki ke hoʻihoʻi ʻia kēia noi i ka pūnaewele bank.com i kahi kikowaena leka uila e hoʻohana ana i kahi palapala TLS i kaʻana like me bank.com. No ka mea ʻaʻole i hoʻopau ka mea leka uila i ke kau ma hope o ka hewa mua, nā poʻomanaʻo lawelawe a me nā kauoha e like me "POST / HTTP/1.1" a me "Host:" e hana ʻia e like me nā kauoha ʻike ʻole (e hoʻihoʻi ka leka uila "500 kauoha ʻike ʻole ʻia" no ka kēlā me kēia poʻo).
ʻAʻole maopopo i ka mea leka uila i nā hiʻohiʻona o ka protocol HTTP a no ia nā poʻomanaʻo lawelawe a me ka poloka ʻikepili o ka noi POST e hana ʻia ma ke ʻano like, no laila ma ke kino o ka noi POST hiki iā ʻoe ke kuhikuhi i kahi laina me kahi kauoha e ke kikowaena leka. No ka laʻana, hiki iā ʻoe ke hele: MAIL FROM: alert(1); kahi e hoʻihoʻi ai ke kikowaena leka i kahi memo hewa 501 alert(1); : helu kuhi hewa: makaʻala(1); ʻaʻole paha e hahai
E loaʻa ana kēia pane e ka polokalamu kele pūnaewele o ka mea hoʻohana, nāna e hoʻokō i ka code JavaScript ma ka pōʻaiapili ʻaʻole o ka pūnaewele i wehe mua ʻia e ka mea hoʻouka, akā no ka pūnaewele bank.com kahi i hoʻouna ʻia ai ka noi, ʻoiai ua hiki mai ka pane i loko o kahi kau TLS pololei. , ka palapala hōʻoia i hōʻoia i ka ʻoiaʻiʻo o ka pane bank.com.
Ua hōʻike ʻia kahi scan o ka pūnaewele puni honua ma ka laulā, ma kahi o 1.4 miliona mau kikowaena pūnaewele i hoʻopilikia ʻia e ka pilikia, kahi e hiki ai ke hoʻokō i kahi hoʻouka ʻana ma ka hui ʻana i nā noi me ka hoʻohana ʻana i nā protocols like ʻole. Ua hoʻoholo ʻia ka hiki ʻana o kahi hoʻouka kaua maoli no 119 tausani mau kikowaena pūnaewele kahi i hele pū ai me nā kikowaena TLS e pili ana i nā protocols noi.
Ua hoʻomākaukau ʻia nā hiʻohiʻona o nā mea hoʻohana no nā kikowaena ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla a me serv-u, IMAP a me POP3 server dovecot, courier, exchange, cyrus, kerio-connect a me zimbra, SMTP server postfix, exim, sendmail , mailenable, mdaemon a me opensmtpd. Ua aʻo ka poʻe noiʻi i ka hiki ke hoʻokō i kahi hoʻouka kaua wale nō me ka hui pū ʻana me nā kikowaena FTP, SMTP, IMAP a me POP3, akā hiki nō paha ka pilikia no nā protocol noiʻi ʻē aʻe e hoʻohana ana i ka TLS.
No ka pale ʻana i ka hoʻouka ʻana, ua manaʻo ʻia e hoʻohana i ka hoʻonui ALPN (Application Layer Protocol Negotiation) e kūkākūkā i kahi hālāwai TLS e noʻonoʻo ana i ka protocol noi a me ka hoʻonui SNI (Server Name Indication) e hoʻopaʻa i ka inoa host i ka hihia o ka hoʻohana ʻana. Nā palapala hōʻoia TLS e uhi ana i kekahi mau inoa kikowaena. Ma ka ʻaoʻao noi, ʻōlelo ʻia e kaupalena i ka helu o nā hewa i ka wā e hoʻoponopono ai i nā kauoha, a laila hoʻopau ʻia ka pilina. Ua hoʻomaka ka hana o ka hoʻomohala ʻana i nā mea e pale ai i ka hoʻouka ʻana i ʻOkakopa i ka makahiki i hala. Ua lawe ʻia nā ʻano palekana like ma Nginx 1.21.0 (mail proxy), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) a me Internet Explorer.
Source: opennet.ru