黑客24小时在线接单的网站

黑客24小时在线接单的网站

STARTTLS相关漏洞影响多个邮件客户端

TLS的现阶段采用最普遍的加密算法。但因为时间缘故,邮件协议书中并没同时应用TLS协议书反而是根据STARTTLS 来开展商议。STARTTLS可以在SMTP、POP3、TMAP等邮件通讯协议应用促使传送全过程从密文更新到数据加密的连接,而不用应用独立的通讯数据加密端口号。STARTTLS的加入提高了多元性,也引进了指令引入等潜在性攻击方法。

在8月11-13日举办的第30届USENIX Security Symposium安全性交流会上,研究工作人员在不一样的STARTTLS完成中看到了40个未修补的网络安全问题,约32万邮件网络服务器遭受指令引入攻击的危害。攻击者运用这种网络安全问题可以实行中介人攻击,仿冒邮件手机客户端內容和盗取有关凭据信息内容。

系统漏洞危害好几个流行的邮箱客户端,包含Apple Mail、Gmail、Mozilla Thunderbird、Claws Mail、Mutt、Evolution、Exim、Mail.ru、Samsung Email、Yandex和KMail邮箱客户端。攻击全过程必须故意方具备改动邮箱客户端和邮箱服务器中间的连接,并具备邮件网络服务器上的帐号的登陆凭据。

邮箱客户端在递交新邮件或浏览目前邮件以前,务必用账户密码开展验证。针对这种连接,根据STARTTLS到TLS的衔接务必严格遵守,由于安全性降权会泄漏账户密码,攻击者就可以具备邮箱账号的彻底访问限制。

在另一个情景中,攻击者还能够仿冒邮件內容。在TLS握手以前,可以在网络服务器信息中插进附加的信息做为STARTTLS指令的回应,手机客户端便会被引诱解决网络服务器指令,就好像是数据加密连接的一部分一样。研究工作人员将这一攻击称作回应引入(response injection)。

IMAP协议书界定了邮箱客户端从邮箱服务器根据TCP/IP连接获取邮件信息的规范。PREAUTH是一个回应,说明连接早已通过外界方式验证了。故意攻击者可以根据推送PREAUTH信息来防止连接更新和驱使手机客户端用非数据加密的连接方式来绕开IMAP中的STARTTLS完成。

研究工作人员对SMTP、POP3和 IMAP中的STARTTLS开展了剖析,开发设计了一个包括超出100个功能测试的全自动流水线的检测工具集EAST,包含对于邮件协议书的STARTTLS清除、指令和回应引入、改动攻击、UI蒙骗攻击等。研究的首要着眼点是邮件推送和邮件获取的安全保密性和一致性。根据对28个手机客户端和23个服务器虚拟机剖析,研究工作人员发觉了高于40个STARTTLS系统漏洞,攻击者运用这种系统漏洞可以进行电子邮箱蒙骗、凭据盗取等攻击。28个手机客户端中仅有3个没有STARTTLS有关的安全隐患,23个检测的网络服务器中仅有7个沒有看到一切安全隐患。

研究工作人员开展互联网技术扫描仪发觉,有超出32万邮箱服务器(约2%)遭受指令引入攻击的危害。

对比STARTTLS,implicit TLS更为安全性。研究工作人员提议客户将邮箱客户端配备为应用配备了implicit TLS的SMTP、POP3和IMAP(端口号各自为465、995和993)以默认设置给予TLS作用。

文中翻譯自:https://thehackernews.com/2021/08/dozens-of-starttls-related-flaws-found.html

  • 评论列表:
  •  冢渊花桑
     发布于 2022-05-29 05:30:41  回复该评论
  • 拟机剖析,研究工作人员发觉了高于40个STARTTLS系统漏洞,攻击者运用这种系统漏洞可以进行电子邮箱蒙骗、凭据盗取等攻击。28个手机客户端中仅有3个没有STARTTLS有关的安全隐患,23个检测的网络服务器中仅有7个沒有看到一切安全
  •  辙弃娇痞
     发布于 2022-05-29 00:29:33  回复该评论
  • l.ru、Samsung Email、Yandex和KMail邮箱客户端。攻击全过程必须故意方具备改动邮箱客户端和邮箱服务器中间的连接,并具备邮件网络服务器上的帐号的登陆凭据。邮箱客户端在递交新邮件或浏览目前邮件以前,务必用账户密码开展验证。针对这种连接,根据STARTTLS到T
  •  嘻友照雨
     发布于 2022-05-29 02:09:55  回复该评论
  • POP3、TMAP等邮件通讯协议应用促使传送全过程从密文更新到数据加密的连接,而不用应用独立的通讯数据加密端口号。STARTTLS的加入提高了多元性,也引进了指令
  •  馥妴辞忧
     发布于 2022-05-29 02:04:30  回复该评论
  • 用。文中翻譯自:https://thehackernews.com/2021/08/dozens-of-starttls-related-flaws-found.html

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.