10月24日,GeekPwn2019国际安全极客大赛在上海举行,来自清华-奇安信网络安全联合研究中心的参赛队伍,通过利用HTTPS协议的漏洞,攻击部署了HTTPS最佳实践的网站,远程劫持篡改HTTPS保护的网页内容、窃取HTTPS保护的用户密码。
在比赛现场,参赛成员在事先未获得受害者电脑的任何配置信息和账号口令的情况下,通过攻击篡改受害者访问的网页中的二维码,还可以通过攻击获得受害者在加密网站输入的用户名与密码。
据了解,该漏洞属于通用底层协议安全问题。此攻击不同于已知攻击,如 SSL Stripping、SSL Sniffing,这些攻击均已在最新的安全策略中被修复或危害较低,但参赛选手的挑战仍然可以对加密流量进行用户无感知的劫持。赛后主办方将该漏洞提交给厂商,并协助厂商进行修复。
