áá»á¬ááá®ááŸá ááá¹áááá¯ááºáá»á¬ážá áœá¬á០áá¯áá±áá®á¡ááœá²á·áá áºááœá²á·ááẠsession cookies áá»á¬ážááŸáá·áº á¡ááŒá¬ážá¡ááááá¯ááºááá¶áá±á¬áá±áá¬áá»á¬ážááᯠáá¯ááºáá°ááá¯ááºááá·áºá¡ááŒáẠá¡ááŒá¬ážááá¯ááºáá¡ááŒá±á¬ááºážá¡áá¬ááœáẠááááºááŸááºáá¬ážáá±á¬ JavaScript áá¯ááºááᯠáá¯ááºáá°ááá¯ááºááá·áº HTTPS ááœáẠMITM ááá¯ááºááá¯ááºááŸá¯á¡áá áºááᯠáá®ááœááºáá²á·áááºá ááá¯ááºááá¯ááºááŸá¯ááᯠALPACA áá¯áá±á«áºááŒá®áž ááá°áá®áá±á¬ á¡ááá®áá±ážááŸááºážá¡ááœáŸá¬áááá¯ááá¯áá±á¬áá»á¬áž (HTTPSá SFTPá SMTPá IMAPá POP3) ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááá·áº TLS áá¬áá¬áá»á¬ážááœáẠá¡áá¯á¶ážáá»ááá¯ááºáá±á¬áºáááºáž áá¯á¶ TLS áááºááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«á
ááá¯ááºááá¯ááºááŸá¯á á¡ááŸá áºáá¬áááŸá¬ ááœááºáááºáááºáá±á«áẠááá¯á·ááá¯áẠááŒáá¯ážáá²á·áááºáá±á¬ááºááá·áºáá±áá¬á¡á¬áž ááááºážáá»á¯ááºáá¬ážáá»áŸáẠááá¯ááºááá¯ááºáá°ááẠáááºáááºážááŒá±á¬ááºážááᯠá¡ááŒá¬ážááœááºáááºááááºáááºážááá¯á· áááºážááŒá±á¬ááºážááŒá±á¬ááºážááá¯ááºááŒá®áž TLS áá¯ááºááŸááºááŒááºážááᯠáá¶á·ááá¯ážáá±ážááá·áº FTP ááá¯á·ááá¯áẠáá±ážááºáá¬áá¬áá áºáá¯ááŒáá·áº áá»áááºáááºááŸá¯áá áºáá¯ááᯠá á¯á ááºážááá¯ááºá á±áááºá HTTP áá¬áá¬ááŸáá·áº áá¯á¶áá°áá®áá±á¬ TLS áááºááŸáẠá á¡áá¯á¶ážááŒá¯áá°áááá±á¬ááºáá¬ááẠáá±á¬ááºážááá¯áá¬ážáá±á¬ HTTP áá¬áá¬ááŸáá·áº áá»áááºáááºááŸá¯áá áºáá¯ááᯠáááºáá±á¬ááºáá²á·áááºáᯠáá°ááááá·áºáááºá TLS áááá¯ááá¯áá±á¬ááẠuniversal ááŒá áºááŒá®áž á¡ááá®áá±ážááŸááºážá¡ááá·áº áááá¯ááá¯áá±á¬áá»á¬ážááŸáá·áº áá»áááºáááºáá¬ážááŒááºáž áááŸááá±á¬ááŒá±á¬áá·áº áááºáá±á¬ááºááŸá¯á¡á¬ážáá¯á¶ážá¡ááœáẠáá¯ááºááŸááºáá¬ážáá±á¬ áá»áááºáááºááŸá¯áá áºáᯠáááºáá±á¬ááºááŒááºážááẠáá°áá®ááŒá®áž ááŸá¬ážááœááºážáá±á¬ áááºáá±á¬ááºááŸá¯ááá¯á· áá±á¬ááºážááá¯áá»ááºáá áºáᯠáá±ážááá¯á·ááŒááºážá á¡ááŸá¬ážá¡ááœááºážááᯠáá¯ááºáá±á¬ááºáá±á ááºááœáẠáá¯ááºááŸááºáá¬ážáá±á¬ áááºááŸááºáá áºáá¯ááᯠáááºáá±á¬ááºááŒá®ážááŸáᬠáá¯á¶ážááŒááºááá¯ááºáááºááŒá áºáááºá áá±ážááá¯á·áá±á¬ááºážááá¯ááŸá¯áá¡áááá·áºáá»á¬ážá
á¥ááá¬á¡á¬ážááŒáá·áºá áááºááẠHTTPS áá¬áá¬ááŸáá·áº áá»áŸáá±áá¬ážáá±á¬ á¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯ááá·áº HTTPS ááá¯á· áá°áááááºá á¬áá±ážáá¬ážáá±á¬ á¡áá¯á¶ážááŒá¯áá°áá»áááºáááºááŸá¯á¡á¬áž áááºááŒááºááœáŸááºážáá«áá TLS áá»áááºáááºááŸá¯ááᯠá¡á±á¬ááºááŒááºá áœá¬ áááºáá±á¬ááºááá¯ááºáááºááŒá áºááŒá®ážá ááá¯á·áá±á¬áº áá±ážááá¯á·áá¬ážáá±á¬ á á¬ááá¯á·áá¬áá¬á០áá¯ááºáá±á¬ááºááá¯ááºáááºááá¯ááºáá±á HTTP ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááŸáá·áº á¡ááŸá¬ážáá¯ááºááŒáá·áº áá¯á¶á·ááŒááºááŸá¯ááᯠááŒááºáá±ážáá«áááºá ááŸááºáááºá áœá¬ááœá²á·á ááºážáá¬ážáá±á¬ áá¯ááºááŸááºáá¬ážáá±á¬ áááºááœááºáá±ážáá»ááºáááºá¡ááœááºáž áá±ážááá¯á·ááá·áº áá±á¬ááºážááá¯áá¬ážáá±á¬ááá¯ááºá០áá¯á¶á·ááŒááºááŸá¯áá áºáá¯á¡áá±ááŒáá·áº á€áá¯á¶á·ááŒááºáá»ááºááᯠááá±á¬ááºáá¬á áá¯ááºáá±á¬ááºáááºááŒá áºáááºá
ááá¯ááºááá¯ááºááŸá¯ááœá±ážáá»ááºá áá¬áá¯á¶ážáá¯ááᯠá¡ááá¯ááŒá¯áá¬ážáááºá
- á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáá±á¬ááºáá»á¬ážáá«ááŸááá±á¬ ááœááºáá®ážáá áºáá¯ááᯠááŒááºáááºááá°ááẠ"á¡ááºáá¯ááºáá¯ááºááŒááºáž"á TLS áááºááŸááºááŒáá·áº á¡áá»á¯á¶ážáááºáá±á¬ FTP áá¬áá¬ááẠáááºážááá±áá¬ááᯠá¡ááºáá¯ááºáá¯ááºááŒá®áž ááŒááºáááºááá°ááœáá·áºááŒá¯áá«á áááºážáááºážááẠá¡áá»á¯á¶ážáááºáá«áááºá á€ááá¯ááºááá¯ááºááŸá¯áá»áá¯ážááœá²ááœááºá ááá¯ááºááá¯ááºáá°ááẠCookie áá±á«ááºážá á®ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážáá²á·ááá¯á·áá±á¬ á¡áá¯á¶ážááŒá¯áá°á áá°áááºáž HTTP áá±á¬ááºážááá¯áá»ááºá á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠááááºážáááºážáá¬ážááá¯ááºáááºá á¥ááá¬á FTP áá¬áá¬ááẠáá±á¬ááºážááá¯áá»ááºááᯠááááºážáááºážááá¯ááºá¡ááŒá Ạáá¬áá¬ááŒááºááá¯áá«á ááá¯á·ááá¯áẠáááºáá¬ááá·áº áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠáá¯á¶ážáá¯á¶ážáá»á¬ážáá»á¬áž ááŸááºáááºážáááºáá¬ážáááºááá¯áá«á ááá¯ááºááá¯ááºáá°ááẠá¡á±á¬ááºááŒááºááá¯ááºáááºá á¡á±á¬ááºááŒááºá áœá¬ ááá¯ááºááá¯ááºáááºá ááá¯á·áá±á¬áẠááá¯ááºááá¯ááºáá°ááẠááááºážáááºážáá¬ážáá±á¬ á¡ááŒá±á¬ááºážá¡áá¬ááᯠáá áºáááºážáááºážááŒáá·áº áá¯ááºáá°ááẠááá¯á¡ááºáááºá ááá¯ááºááá¯ááºááŸá¯ááẠProftpdá Microsoft IISá vsftpdá filezilla ááŸáá·áº serv-u ááá¯á·ááŸáá·áº áááºááá¯ááºáááºá
- ááá¯ááºá á¯á¶ áá¬ááºááœáŸááºážáá±ážááŒááºáž (XSS) ááᯠá á®á ááºáááºá¡ááœáẠâáá±á«ááºážáá¯ááºâá áááºážáááºážááẠáá áºáŠážáá»ááºáž ááŒááºááŸááºááŸá¯áá»á¬ážááŒá±á¬áá·áº ááá¯ááºááá¯ááºáá°ááẠá¡áá¯á¶ážááŒá¯áá°áá±á¬ááºážááá¯áá»ááºááᯠáá¯á¶á·ááŒááºááá·áºá¡áá±ááŒáá·áº áá¯ááºáá±ážááá¯ááºááá·áº áá¯á¶ TLS áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯ááá·áº áááºáá±á¬ááºááŸá¯áá áºáá¯ááœáẠáá±áá¬áá»á¬ážááᯠáá¬ážááŸáááá¯ááºáááºáᯠááá¯ááá¯áááºá ááá¯ááºááá¯ááºááŸá¯ááẠá¡áááºáá±á¬áºááŒáá« FTP áá¬áá¬áá»á¬ážá IMAP áá¬áá¬áá»á¬ážááŸáá·áº POP3 áá¬áá¬áá»á¬áž (courierá cyrusá kerio-connect ááŸáá·áº zimbra) ááá¯á·ááŸáá·áº áááºááá¯ááºáá«áááºá
- á¡ááŒá¬ážááá¯ááºáá¡ááŒá±á¬ááºážá¡áá¬ááœáẠJavaScript ááá¯ááœáá·áºááẠ"Reflection" áááºážáááºážááẠááá¯ááºááá¯ááºáá°ááŸáá±ážááá¯á·áá±á¬ JavaScript áá¯ááºáá«ááŸááá±á¬ áá±á¬ááºážááá¯áá»ááºá client á¡á áááºá¡ááá¯ááºážááá¯á· ááŒááºááœá¬ážááŒááºážá¡áá±á«áº á¡ááŒá±áá¶áááºá ááá¯ááºááá¯ááºááŸá¯ááẠá¡áááºáá±á¬áºááŒáá« FTP áá¬áá¬áá»á¬ážá IMAP áá¬áá¬áá»á¬áž cyrusá kerio-connect ááŸáá·áº zimbra á¡ááŒáẠsendmail SMTP áá¬áá¬áá»á¬ážááŸáá·áº áááºááá¯ááºáá«áááºá
á¥ááá¬á¡á¬ážááŒáá·áºá á¡áá¯á¶ážááŒá¯áá°ááẠááá¯ááºááá¯ááºáá°á០ááááºážáá»á¯ááºáá¬ážáá±á¬ á á¬áá»ááºááŸá¬ááᯠááœáá·áºáá±á¬á¡áá«á á€á á¬áá»ááºááŸá¬ááẠá¡áá¯á¶ážááŒá¯áá°ááœáẠá¡áá¯á¶ážááŒá¯áá±áá±á¬ á¡áá±á¬áá·áºááŸáááá·áº áááºááá¯ááºá០áááºážááŒá áºáá áºáᯠáá±á¬ááºážááá¯ááŸá¯ (á¥ááá¬á bank.com) ááᯠá áááºááá¯ááºáááºá MITM ááá¯ááºááá¯ááºááŸá¯áá áºáá¯á¡ááœááºážá bank.com ááŸáá·áº áá»áŸáá±áá¬ážáá±á¬ TLS áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯ááá·áº á¡á®ážáá±ážááºáá¬áá¬ááá¯á· á€áá±á¬ááºážááá¯áá»ááºááᯠbank.com áááºááá¯ááºááá¯á· ááŒááºááœáŸááºážááá¯ááºáááºá áá±ážááºáá¬áá¬ááẠáááá¡ááŸá¬ážááŒá®ážáá±á¬áẠá ááºááŸááºááᯠáááºááá·áºááá¬ážáá±á¬ááŒá±á¬áá·áºá "POST/HTTP/1.1" ááŸáá·áº "Host:" áá²á·ááá¯á·áá±á¬ áááºáá±á¬ááºááŸá¯ áá±á«ááºážá á®ážáá»á¬ážááŸáá·áº á¡áááá·áºáá»á¬ážááᯠá¡áááºááá ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážá¡ááŒá Ạáá¯ááºáá±á¬ááºáááá·áºááẠ(áá±ážááºáá¬áá¬ááẠ"500 á¡ááá¡ááŸááºááŒá¯ááá¬ážáá±á¬ á¡áááá·áºáá±á¬áº" ááᯠááŒááºáá±ážáá«áááºá áá±á«ááºážá á®ážáá áºáá¯á á®)á
áá±ážááºáá¬áá¬ááẠHTTP áááá¯ááá¯áá±á¬áá¡ááºá¹áá«áááºáá»á¬ážááᯠáá¬ážááááºáá±á¬ááŒá±á¬áá·áº áááºážá¡ááœáẠáááºáá±á¬ááºááŸá¯áá±á«ááºážá á®ážáá»á¬ážááŸáá·áº POST áá±á¬ááºážááá¯ááŸá¯ááá±áá¬ááááºááá¯á·ááŒááºážááᯠáá°áá®áá±á¬áááºážáááºážááŒáá·áº áá¯ááºáá±á¬ááºáá±áá±á¬ááŒá±á¬áá·áº POST áá±á¬ááºážááá¯áá»ááºáááá¯ááºáááºááœáẠá¡áááá·áºáá±ážááá·áºá á¬ááŒá±á¬ááºážááᯠáááºáááºááŸááºááá¯ááºáááºá áá±ážááºáá¬áá¬á á¥ááá¬á¡á¬ážááŒáá·áºá áááºááŒááºáááºážááá¯ááºáááº- MAIL FROM- alert(1); áá±ážááºáá¬áá¬á 501 á¡ááŸá¬ážá¡ááœááºáž áááºáá±á·áá»áºááᯠááŒááºáá±ážáá«áááá·áºáááºá alert(1); : áá¯á¶á á¶áááŸááºáá±á¬ ááááºá á¬- ááááá±ážáá»ááº(1); áááá¯ááºááá¯ááºáá«á
ááá¯ááºááá¯ááºáá°áá¡á ááœááºááœáá·áºáá¬ážáá±á¬áááºááá¯ááºááá¯ááºáá±á¬áºáááºáž ááŸááºáááºáá±á¬ TLS á ááºááŸááºáá áºáá¯á¡ááœááºáž áá¯á¶á·ááŒááºááŸá¯ááẠááŸááºáááºáá±á¬ TLS á ááºááŸááºáá áºáá¯á¡ááœááºáž áá¯á¶á·ááŒááºáá¬áá±á¬ááŒá±á¬áá·áº á¡áá¯á¶ážááŒá¯áá°áááá±á¬ááºáá¬á០á€áá¯á¶á·ááŒááºáá»ááºááᯠáááºáá¶áááŸááááºááŒá áºáááºá bank.com áá¯á¶á·ááŒááºááŸá¯á á á áºááŸááºááŒá±á¬ááºáž á¡áááºááŒá¯áá¬ážááá·áº áááºááŸááºá
ááá¹áá¬áá¯á¶ážááá¯ááºáá¬ááœááºáááºáá áááºááºáááºááŸá¯áá áºáá¯á¡á áá±áá¯áá»á¡á¬ážááŒáá·áº áááºáá¬áᬠá.á áááºážááá·áºááẠááŒá¿áá¬ááŒá±á¬áá·áº ááááá¯ááºáá¶áááŒá®áž ááá°áá®áá±á¬áááá¯ááá¯áá±á¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáá±á¬ááŸá±á¬ááŒááºážááŒáá·áº ááá¯ááºááá¯ááºááẠááŒá áºááá¯ááºááŒá±á¬ááºáž ááŒááá²á·áááºá á¡ááŒá¬ážáá±á¬ á¡ááá®áá±ážááŸááºáž áááá¯ááá¯áá±á¬áá»á¬ážáá±á«áºááœáẠá¡ááŒá±áá¶á áá«áááºáá¬áá±á¬ TLS áá¬áá¬áá»á¬áž áá«ááŸáááá·áº áááºáá¬áᬠ1.4 á¡ááœáẠá¡ááŸááºáááẠááá¯ááºááá¯ááºááŸá¯ ááŒá áºááá¯ááºááŒá±ááᯠáá¯á¶ážááŒááºáá²á·áááºá
exploits ááá°áá¬áá»á¬ážááᯠftp áá¬áá¬áá»á¬áž pureftpdá proftpdá microsoft-ftpá vsftpdá filezilla ááŸáá·áº serv-uá IMAP ááŸáá·áº POP3 áá¬áᬠdovecotá courierá exchangeá cyrusá kerio-connect ááŸáá·áº zimbraá SMTP áá¬áá¬áá»á¬áž postfixá eximá sendmail á á¬ááá¯á·ááá¯ááºáá±á¬á mdaemon ááŸáá·áº opensmtpdá áá¯áá±áá®áá»á¬ážááẠFTPá SMTPá IMAP ááŸáá·áº POP3 áá¬áá¬áá»á¬ážááŒáá·áºáᬠááá¯ááºááá¯ááºááŸá¯ááᯠáá¯ááºáá±á¬ááºááá¯ááºááŒá±ááᯠáá±á·áá¬áá²á·áá±á¬áºáááºáž TLS ááᯠá¡áá¯á¶ážááŒá¯ááá·áº á¡ááŒá¬ážáá±á¬ á¡ááá®áá±ážááŸááºáž áááá¯ááá¯áá±á¬áá»á¬ážá¡ááœááºáááºáž ááŒá¿áᬠááŒá áºááá¯ááºáááºá
ááá¯ááºááá¯ááºááŸá¯ááᯠááááºááá¯á·áááºá á¡áá¯á¶ážááŒá¯ááá·áºááá
á¹á
ááœáẠáááºáá¶áá±á¬ááºááœááºáá±ážáá°á¡áááºááŸáá·áº áá»áááºáááºááẠTLS á
ááºááŸááºááᯠááá·áºááœááºážá
ááºážá
á¬ážááẠALPN (Application Layer Protocol Negotiation) ááá¯ážáá»á²á·ááŸá¯ááᯠá¡áá¯á¶ážááŒá¯ááẠá¡ááá¯ááŒá¯áá¬ážáááºá ááá¯ááááºážá¡áááºáá»á¬ážá
áœá¬áá«ááŸááá±á¬ TLS áááºááŸááºáá»á¬ážá á¡ááá®áá±ážááŸááºážáááºááœááºá áá»áááºáááºááŸá¯ááᯠáááºá
á²ááŒá®ážáá±á¬áẠá¡áááá·áºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá·áºá¡áá« á¡ááŸá¬ážá¡ááœááºážá¡áá±á¡ááœááºááᯠááá·áºáááºááẠá¡ááŒá¶ááŒá¯áá¬ážáááºá ááá¯ááºááá¯ááºááŸá¯ááᯠáá¬ážáá®ážááẠá¡á
á®á¡áá¶áá»á¬áž áá±ážááœá²ááŒááºážáá¯ááºáááºážá
ááºááᯠááŒá®ážáá²á·ááá·áºááŸá
Ạá¡á±á¬ááºááá¯áá¬áááœáẠá
áááºáá²á·áááºá á¡áá¬ážáá° áá¯á¶ááŒá¯á¶áá±ážá¡á
á®á¡áá¶áá»á¬ážááᯠNginx 1.21.0 (áá±ážááºááá±á¬ááºá
á®)á Vsftpd 3.0.4á Courier 5.1.0á Sendmailá FileZillá crypto/tls (Go) ááŸáá·áº Internet Explorer ááá¯á·ááœáẠáá¯ááºáá±á¬ááºááŒá®ážááŒá
áºáááºá
source: opennet.ru