WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
95% máy chủ HTTPS có thể bị tấn công qua kết nối thông thường
Chỉ với 5% máy chủ web cài đặt HSTS, 95% còn lại có nguy cơ bị tấn công kết nối, nghiên cứu cho thấy.
HSTS (HTTP Strict Transport Security) là tính năng cho phép một trang web thông báo cho các trình duyệt chỉ nên giao tiếp bằng giao thức HTTPS thay vì HTTP. Việc cài đặt HSTS rất đơn giản, chỉ cần thêm dòng mã Strict-Transport-Security: max-age=31536000; vào cấu hình của máy chủ.
Tuy nhiên, theo nghiên cứu của Netcraft, 95% máy chủ HTTPS hiện nay không cài HSTS, hoặc có lỗi trong cấu hình khiến kết nối giữa máy chủ và máy khách có nguy cơ bị tấn công phishing, pharming và man-in-the-middle (MiTM) khi người dùng vô tình truy cập một trang web an toàn qua HTTP.
Các trang web không cài đặt HSTS có thể bị tấn công khi người dùng vô tình kết nối qua HTTP thay vì HTTPS hoặc khi một trang web hỗ trợ cả hai giao thức. Một số trang web cũng chạy một dịch vụ HTTP để chuyển hướng người dùng đến trang HTTPS tương ứng, khiến họ càng dễ bị tấn công MITM nếu không thực hiện HSTS.
Các trang HTTPS cũng có nguy cơ bị tấn công MiTM khi người dùng gõ URL không có https://, vì trình duyệt sẽ thực hiện kết nối HTTP không mã hóa trước. Vì vậy, yêu cầu có thể bị tấn công khi kết nối được chuyển tiếp đến trang an toàn thực.
Trên các trang web có thực thi HSTS, trình duyệt sẽ chỉ kết nối qua HTTPS. Ngay cả khi người dùng không gõ HTTPS, trình duyệt sẽ tự động chuyển sang HTTPS.
Theo SecurityWeek
HSTS (HTTP Strict Transport Security) là tính năng cho phép một trang web thông báo cho các trình duyệt chỉ nên giao tiếp bằng giao thức HTTPS thay vì HTTP. Việc cài đặt HSTS rất đơn giản, chỉ cần thêm dòng mã Strict-Transport-Security: max-age=31536000; vào cấu hình của máy chủ.
Tuy nhiên, theo nghiên cứu của Netcraft, 95% máy chủ HTTPS hiện nay không cài HSTS, hoặc có lỗi trong cấu hình khiến kết nối giữa máy chủ và máy khách có nguy cơ bị tấn công phishing, pharming và man-in-the-middle (MiTM) khi người dùng vô tình truy cập một trang web an toàn qua HTTP.
Các trang web không cài đặt HSTS có thể bị tấn công khi người dùng vô tình kết nối qua HTTP thay vì HTTPS hoặc khi một trang web hỗ trợ cả hai giao thức. Một số trang web cũng chạy một dịch vụ HTTP để chuyển hướng người dùng đến trang HTTPS tương ứng, khiến họ càng dễ bị tấn công MITM nếu không thực hiện HSTS.
Các trang HTTPS cũng có nguy cơ bị tấn công MiTM khi người dùng gõ URL không có https://, vì trình duyệt sẽ thực hiện kết nối HTTP không mã hóa trước. Vì vậy, yêu cầu có thể bị tấn công khi kết nối được chuyển tiếp đến trang an toàn thực.
Trên các trang web có thực thi HSTS, trình duyệt sẽ chỉ kết nối qua HTTPS. Ngay cả khi người dùng không gõ HTTPS, trình duyệt sẽ tự động chuyển sang HTTPS.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: