Kua whakawhanakehia e te roopu kairangahau mai i etahi whare wananga maha i Tiamana tetahi whakaeke MITM hou ki runga i te HTTPS ka taea te tango i nga pihikete hui me etahi atu raraunga tairongo, me te whakahaere i te waehere JavaScript i roto i te horopaki o tetahi atu pae. Ko te whakaekenga e kiia ana ko ALPACA ka taea te tono ki nga kaitoro TLS e whakatinana ana i nga kawa paparanga tono rereke (HTTPS, SFTP, SMTP, IMAP, POP3), engari ka whakamahi i nga tiwhikete TLS noa.
Ko te ngako o te whakaeke ko te mea kei a ia te mana whakahaere i runga i te kuaha whatunga, i te waahi uru ahokore ranei, ka taea e te kaitukino te whakahoki i nga waka tukutuku ki tetahi atu tauranga whatunga me te whakarite i te whakatuu hononga ki te FTP, ki te tūmau mēra ranei e tautoko ana i te whakamunatanga TLS me te whakamahi Tiwhikete TLS noa ki te tūmau HTTP , a ka whakaaro te kaitirotiro a te kaiwhakamahi kua whakaritea he hononga ki te tūmau HTTP i tonoa. I te mea ko te kawa TLS he ao katoa, kaore e herea ki nga kawa taumata-tono, he rite tonu te whakatuu hononga whakamunatia mo nga ratonga katoa me te hapa o te tuku tono ki te ratonga he ka taea te whakatau i muri i te whakatuu i tetahi huihuinga whakamunatia i te wa e tukatuka ana i te nga whakahau o te tono i tukuna.
Na, ki te, hei tauira, ka anga koe i tetahi hononga kaiwhakamahi i tukuna tuatahi ki te HTTPS ki te tūmau mēra e whakamahi ana i te tiwhikete tiritahi ki te tūmau HTTPS, ka tutuki pai te hononga TLS, engari kare e taea e te tūmau mēra te tukatuka i te tuku. Ko nga whakahau HTTP ka whakahokia mai he whakautu me te waehere hapa. Ka tukatukahia tenei whakautu e te kaitirotiro hei whakautu mai i te pae i tonohia, ka tukuna i roto i te hongere korero whakamunatia tika.
E toru nga whiringa whakaeke e whakaarohia ana:
- "Tuake" ki te tiki Pihikete me nga tawhā motuhēhēnga. E tika ana te tikanga mena ka taea e te tūmau FTP kua hipokina e te tiwhikete TLS ki a koe te tuku ake me te tiki mai i ona raraunga. I roto i tenei momo whakaeke, ka taea e te kaiwhaiwhai te pupuri i nga waahanga o te tono HTTP taketake a te kaiwhakamahi, penei i nga ihirangi o te pane Pihikete, hei tauira, ki te whakamaoritia e te Kaituku FTP te tono he konae penapena, ka tuhia katoatia ranei nga tono taumai. Kia angitu ai te whakaeke, me tango e te kaitukino nga ihirangi rongoa. Ko te whakaeke e pa ana ki a Proftpd, Microsoft IIS, vsftpd, filezilla me te serv-u.
- "Tikiake" mo te whakariterite i te tuhi tuhi-paepae (XSS). Ko te tikanga e kii ana ka taea e te kaitukino, na etahi mahi raweke takitahi, te tuku raraunga ki roto i te ratonga e whakamahi ana i te tiwhikete TLS noa, ka taea te tuku hei whakautu ki te tono a te kaiwhakamahi. Ko te whakaeke e pa ana ki nga kaiwhakarato FTP kua whakahuahia i runga ake nei, nga tūmau IMAP me nga tūmau POP3 (kairere, cyrus, kerio-hono me te zimbra).
- "Whakaata" ki te whakahaere JavaScript i roto i te horopaki o tetahi atu pae. Ko te tikanga i runga i te hokinga mai ki te waahanga o te kiritaki o te tono, kei roto te waehere JavaScript i tukuna e te kaipatu. Ko te whakaeke e pa ana ki nga kaiwhakarato FTP kua whakahuahia ake nei, nga kaitoro IMAP cyrus, te kerio-hono me te zimbra, me te tūmau SMTP sendmail.
Hei tauira, ina whakatuwhera te kaiwhakamahi i te wharangi e whakahaerea ana e te kaitukino, ka taea e tenei wharangi te tono mo tetahi rauemi mai i te pae kei reira he putea hohe a te kaiwhakamahi (hei tauira, bank.com). I te wa o te whakaeke MITM, ko tenei tono kua tukuna ki te paetukutuku bank.com ka taea te tuku atu ki tetahi tūmau imeera e whakamahi ana i te tiwhikete TLS ka tohatohahia ki te bank.com. I te mea kaore te kaitoro mēra e whakamutu i te huihuinga i muri i te hapa tuatahi, ko nga pane o te ratonga me nga whakahau penei i te "POST / HTTP/1.1" me te "Kaihautu:" ka tukatukahia hei whakahau e kore e mohiotia (ka hoki mai te tūmau mēra "500 tono kore mohio" mo ia pane).
Kaore te kaimau mēra i te mohio ki nga ahuatanga o te kawa HTTP, na reira ko nga pane o te ratonga me te paraka raraunga o te tono POST ka rite tonu te tukatuka, na i roto i te tinana o te tono POST ka taea e koe te tohu i tetahi raina me te whakahau ki te tūmau mēra. Hei tauira, ka taea e koe te tuku: MAIL FROM: alt(1); to which the mail server will return an error message 501 alt(1);: malformed address: alert (1); kaore pea e whai i
Ka whakawhiwhia tenei whakautu e te kaitirotiro a te kaiwhakamahi, ka mahia te waehere JavaScript i roto i te horopaki ehara i te paetukutuku tuwhera tuatahi a te kaitukino, engari o te paetukutuku bank.com i tukuna ai te tono, na te mea i tae mai te whakautu i roto i te huihuinga TLS tika. , ko te tiwhikete i whakapumau i te pono o te whakautu bank.com.
Ko te karapa o te whatunga o te ao e whakaatu ana i te nuinga o te waa, tata ki te 1.4 miriona nga kaiwhakarato paetukutuku e pa ana ki te raru, na reira ka taea te whakaeke ma te whakauru i nga tono ma te whakamahi i nga tikanga rereke. I whakatauhia te tupono mo te whakaekenga mo te 119 mano nga kaiwhakarato paetukutuku kei reira nga kaitoro TLS i runga i etahi atu kawa tono.
Ko nga tauira o nga mahi kua whakaritea mo nga tūmau ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla me te serv-u, IMAP me te POP3 tūmau dovecot, courier, exchange, cyrus, kerio-connect and zimbra, SMTP servers postfix, exim, sendmail , mailenable, mdaemon me opensmtpd. Kua rangahauhia e nga Kairangahau te kaha ki te kawe i te whakaeke i te taha o nga kaitoro FTP, SMTP, IMAP me POP3, engari tera pea ka puta ano te raru mo etahi atu kawa tono e whakamahi ana i te TLS.
Hei aukati i te whakaekenga, e whakaarohia ana kia whakamahia te toronga ALPN (Whakawhitinga Kawa Ngaa Tono) ki te whiriwhiringa i tetahi huihuinga TLS me te whakaaro ki te kawa tono me te toronga SNI (Server Name Indication) hei here ki te ingoa o te kaihautu i te keehi o te whakamahi. Tiwhikete TLS he maha nga ingoa rohe. I te taha o te tono, e taunaki ana kia whakawhäitihia te rahinga o nga hapa i te wa e tukatuka ana nga whakahau, ka mutu te hononga. I timata te mahi whakawhanake i nga tikanga hei aukati i te whakaeke i te Oketopa o tera tau. He rite ano nga tikanga haumarutanga kua mahia ki Nginx 1.21.0 (takawaenga mēra), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Haere) me Internet Explorer.
Source: opennet.ru