НОВАЯ ТЕХНИКА АТАК НА HTTPS

Исследователи обнаружили новую технику MitM-атак на HTTPS, позволяющий извлечь cookie-файлы, осуществить XSS-атаки и похитить важную информацию. Данная атка получила название ALPACA (Application Layer Protocol Confusion — Analyzing and mitigating Cracks in tls Authentication), при этом возможность ее совершить есть только при условии, что у злоумышленника есть возможность перехвата трафика на уровне TCP/IP.

Нападение осуществляется посредством эксплуатации уязвимости в TLS и затрагивает TLS-серверы, использующие разные протоколы прикладного уровня (HTTPS, FTPS, SMTP, IMAP, POP3), но применяющие общие TLS-сертификаты.

Кроме того, уязвимость в TLS может использоваться для извлечения cookie-файлов аутентификации или других конфиденциальных данных на FTP-сервер, загрузки вредоносного кода JavaScript с FTP-сервера или проведения отраженной (Reflected XSS) атаки в контексте атакуемого web-сервера.

Для предотвращения подобных атак мы предлагаем Нашим Клиентам использовать только самые эффективные и современные решения от Наших Партнеров.