摘要: 作者:南京翰海源CEO 方兴(FlashSky) 版权申明:该文版权属于南京翰海源公司,任何人或单位、网站转载、引用都必须标记南京翰海源公司。否则视为侵权。 引子里的例子的分析 分析下引子里的例子的问题本质,大家往往认为这是协议的问题。当然这是一个协议问题,这...
作者:南京翰海源CEO 方兴(FlashSky)
版权申明:该文版权属于南京翰海源公司,任何人或单位、网站转载、引用都必须标记南京翰海源公司。否则视为侵权。
引子里的例子的分析
分析下引子里的例子的问题本质,大家往往认为这是协议的问题。当然这是一个协议问题,这个攻击是一个变形的自己人攻击,但是传统的中间人要劫持链路,但是这个不需要(当然钓鱼类中间人无需劫持链路,但成功与否取决对方上当否)。传统的中间人要被动等待受害者发起登录,这个也不需要。原因在于:
1.这个协议考虑客户端服务器单向认证为主,用于对等主机间认证,就避免不了b用a自己的挑战问题去问a自己,即使加上ab互联限制(增加主机成abc或更多,就比如多人可以互相提问,b不知道a问题的答案,但可以问c,c把问题提回a,就知道答案),甚至匹配限制最近发出挑战和收到挑战是否一致也解决不了问题(攻击者可以扩展资源为b1,b2,b3……,c1,c2,c3……来混淆比较)
2.为什么自动以当前用户尝试登录?如果用户已经是有b权限的帐号登录了a,就可以少输用户名与口令。同时,win一些域的管理服务肯定也基于这个认证机制,改了兼容问题会很大。
3.再和邮件或网页这种可以由外部发起的数据组合起来,只要用户使用,系统很难识别嵌入外部资源行为是用户授权还是非授权,知晓还是不知晓(攻击可以伪装成一般用户无感,除非专业用户仔细分析),就完成了整个无缝的攻击。
可以看到,除了协议自己的问题,协议实现的问题,兼容性和方便性,行为驱动行为的授权鉴定困难(这个是典型数据驱动系统行为的案例),这些,都是当前it安全较大的问题。这些看起来不起眼的小问题,组合一起,就成了自动快捷的杀器。
