網(wǎng)絡(luò)安全研究人員披露一種新型網(wǎng)絡(luò)攻擊，這種攻擊利用傳輸層安全（TLS）服務(wù)器中的錯誤配置將HTTPS流量從受害者的Web瀏覽器重定向到位于另一個IP地址的不同TLS服務(wù)端點，從而竊取敏感信息，而靜態(tài)代碼檢測有助防范新型TLS 攻擊。

　　研究人員將這種攻擊成為“ALPACA”（Analyzing and mitigating Cracks in tls Authentication）即“應(yīng)用層協(xié)議混淆-分析和減輕tls身份驗證中的裂縫”的縮寫。

　　攻擊者可以將流量從要給子域重定向到另一個子域，從而產(chǎn)生有效的TLS會話，這打破了TLS的身份驗證，可能會出現(xiàn)跨站腳本攻擊，其中一個協(xié)議服務(wù)的行為可能會在應(yīng)用層危及另一個協(xié)議。

　　TLS作用

　　TLS是一種加密協(xié)議，用于在兩個通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。支持多種應(yīng)用層協(xié)議，如HTTPS、SMTP、IMAP、POP3 和 FTP以保護網(wǎng)絡(luò)通信安全，該協(xié)議由兩層組成：TLS 記錄協(xié)議（TLS Record）和 TLS 握手協(xié)議（TLS Handshake）。

　　TLS記錄協(xié)議提供的連接安全性有2個基本特性：

　　1、私有，對稱加密用以數(shù)據(jù)加密（DES等）。對稱加密所產(chǎn)生的密鑰對每個連接都是唯一的，且此密鑰基于另一個協(xié)議（如握手協(xié)議）協(xié)商。

　　2、可靠，信息傳輸包括使用密鑰的MAC進行信息完整性檢查。安全哈希功能（SHA、MD5 等）用于MAC計算。記錄協(xié)議在沒有MAC的情況下也能操作，但一般只能用于這種模式，即有另一個協(xié)議正在使用記錄協(xié)議傳輸協(xié)商安全參數(shù)。

　　ALPACA攻擊如何實現(xiàn)？

　　網(wǎng)絡(luò)安全研究人員稱，ALPACA攻擊之所以可以實現(xiàn)，因為TLS沒有將TCP連接綁定到預(yù)期的應(yīng)用層協(xié)議上。因此，TLS未能保護TCP連接的完整性，可能被濫用為將預(yù)期的TLS服務(wù)端點和協(xié)議的TLS通信重定向到另一個替代的TLS服務(wù)端點和協(xié)議。

　　由于客戶端使用特定協(xié)議打開與目標服務(wù)器（如HTTPS）的安全通道，而替代服務(wù)器使用不同的應(yīng)用層協(xié)議（FTP）并在單獨的TCP端點上運行，因此發(fā)生混淆從而導(dǎo)致所謂的跨站腳本攻擊。

　　圖片

　　目前，發(fā)現(xiàn)至少3中假設(shè)的跨站腳本攻擊場景，攻擊者可以利用這些場景來繞過TLS保護，并攻擊FTP和電子郵件服務(wù)器，但攻擊的前提是攻擊者能夠在TCP/IP層攔截和轉(zhuǎn)移受害者的流量。

　　簡單來說，攻擊采取中間人（MitM）方案的形式，其中攻擊者誘使受害者打開他們控制的網(wǎng)站以發(fā)出帶有特制FTP負載的跨域HTTPS請求，然后將此請求重定向到使用與網(wǎng)站兼容的證書的FTP服務(wù)器，最終形成有效TLS會話。

　　因此，TLS服務(wù)中的錯誤配置可以被利用來將身份驗證cookie或其他私有數(shù)據(jù)泄露到FTP服務(wù)器（上傳攻擊），在存儲的跨站腳本攻擊中從FTP服務(wù)器檢索惡意JavaScript負載，甚至在受害者網(wǎng)站的上下文中執(zhí)行反射跨站腳本攻擊。

　　新型網(wǎng)絡(luò)攻擊影響

　　預(yù)計所有證書與其他TLS服務(wù)兼容的TLS服務(wù)器都將受到影響。在實驗設(shè)置中，研究人員發(fā)現(xiàn)至少有140萬臺web服務(wù)器容易受到跨協(xié)議攻擊，其中114197臺服務(wù)器被認為容易受到攻擊，它們使用可利用的SMTP、IMAP、POP3或FTP以及可信和兼容的證書。

　　關(guān)于跨站腳本攻擊

　　除了以上攻擊類型，常見跨站腳本攻擊一般是系統(tǒng)漏洞產(chǎn)生的。攻擊者在Web頁面插入惡意代碼，當用戶瀏覽網(wǎng)頁時，嵌在Web里面的代碼會被執(zhí)行從而實現(xiàn)跳轉(zhuǎn)造成信息泄露或其他惡意行為。這些漏洞可能會允許攻擊者竊取cookie、記錄鍵盤敲擊、捕捉屏幕截圖、發(fā)現(xiàn)和收集網(wǎng)絡(luò)信息，以及遠程訪問和控制受害者的設(shè)備，造成的影響無法估計。

　　跨站腳本攻擊是OWASP Top10中第二普遍問題，存在于三分之二的應(yīng)用程序中。但其實跨站腳本攻擊很容易被預(yù)防，只要在開發(fā)階段通過靜態(tài)代碼檢測技術(shù)就可以發(fā)現(xiàn)，問題在于開發(fā)人員此時是否意識到代碼安全檢測的重要性。

　　靜態(tài)代碼安全檢測技術(shù)和漏洞掃描、防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過靜態(tài)代碼檢測可以在開發(fā)階段對所有代碼缺陷實時查找并修復(fù)，如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段，那么靜態(tài)代碼檢測就是一種主動的防范措施，能有效查找系統(tǒng)漏洞避免黑客攻擊行為，做到防患于未然。