Off-Path TCP Exploit允许攻击者通过未加密的连接窃取数据

栏目: 服务器 · 发布时间: 6年前

内容简介:所有Wi-Fi路由器都容易受到正如副教授Zhiyun Qian和来自UCR的博士生Weiteng Chen所发现的那样,该漏洞利用了TCP和Wi-Fi之间的相互作用,这使得骗子可以窃取登录凭证,以及注入篡改数据。目前没有明显的解决方案,因为它基于Wi-Fi和TCP协议用于交换信息的机制。

所有Wi-Fi路由器都容易受到 Off-Path TCP Exploit (路径外TCP漏洞)的攻击,这种攻击允许攻击者在所有主要操作系统(Windows,macOS和Linux)的最新版本上使用Web缓存中毒来窃取通过无线连接通过HTTP传输的数据。

正如副教授Zhiyun Qian和来自UCR的博士生Weiteng Chen所发现的那样,该漏洞利用了TCP和Wi-Fi之间的相互作用,这使得骗子可以窃取登录凭证,以及注入篡改数据。

目前没有明显的解决方案,因为它基于Wi-Fi和TCP协议用于交换信息的机制。

要利用此漏洞,攻击者可以拦截您的路由器和计算机之间的通信,并发送恶意负载,当它到达您的Web浏览器时,它看起来就像真实的一样。

Off-Path TCP Exploit允许攻击者通过未加密的连接窃取数据

当受害者进入由攻击者恶意制作的网站页面时,该漏洞利用有效,并且如果有足够的时间(最多一到两分钟),骗子可以猜测从您的PC发送的TCP数据包的序列号并注入他们的副本您尝试访问的登录或结帐页面。

此网络缓存中毒攻击还将确保每次您尝试从同一网站登录或结帐时,您将使用威胁主播发送到您的浏览器的恶意制作版本来访问它。

Wi-Fi路由器漏洞也可以远程利用

此外,该漏洞可以被远程利用,旨在窃取您的信息的恶意网页版本将在您的计算机上,直到您清除浏览器的缓存。

根据Qian和Chen的说法,这个漏洞唯一可能的缓解措施是构建使用不同频率传输数据的新型无线路由器。

此外,在研究人员与决定无线技术发展的委员会进行的讨论中,他们发现具有新Wi-Fi频率的新技术至少还需要五年时间。

目前,当您通过Wi-Fi连接浏览互联网时,唯一可以确保数据安全的方法是仅使用内置HTTPS或HSTS加密的网站,或仅通过以太网连接。

尽管上述措施在理论上能够在网络上传输时保护您的敏感数据,但您还需要始终保持加密连接。

但是,这并不总是会发生,特别是在仅使用SSL证书加密登录或结帐页面的网站上,访问者必须输入登录或信用卡数据。

相关PDF文档可以到 Linux 公社资源站下载:

------------------------------------------分割线------------------------------------------

免费下载地址在 http://linux.linuxidc.com/

用户名与密码都是 www.linuxidc.com

具体下载目录在/2018年资料/9月/23日/Off-Path TCP Exploit允许攻击者通过未加密的连接窃取数据/

下载方法见 http://www.linuxidc.com/Linux/2013-07/87684.htm

------------------------------------------分割线------------------------------------------

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-09/154303.htm


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

乌合之众

乌合之众

(法)勒庞 / 冯克利 / 中央编译出版社 / 2011-5-1 / 16.00元

古斯塔夫・勒庞 Gustave Le Bon(1841-1931) 法国著名社会心理学家。他自1894年始,写下一系列社会心理学著作,以本书最为著名;在社会心理学领域已有的著作中,最有影响的,也是这本并不很厚的《乌合之众》。古斯塔夫・勒庞在他在书中极为精致地描述了集体心态,对人们理解集体行为的作用以及对社会心理学的思考发挥了巨大影响。《乌合之众--大众心理研究》在西方已印至第29版,其观点新颖,语......一起来看看 《乌合之众》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

在线进制转换器
在线进制转换器

各进制数互转换器

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具