资讯中心
News Center
如何从HTTPS加密数据中获取明文
发布时间:2020-12-03文章来源:明辰智航

理论基础

Fetch API

关于Fetch API有两个比较重要的点:

1.Fetch API作为CacheService WorkersAPI的基础,可以获取任何资源,包括需要认证的跨域资源。

2.fetch()返回的是一个Promise对象,一旦Response对象接收到了第一个字节的数据,Promise对象就开始resolve,并且已经可以访问Response对象,这时候Response对象仍然会有数据流入。

Performance API

浏览器获取网页时,会对网页中每一个对象(脚本文件、样式表、图片文件等等)发出一个HTTP请求。performance.getEntries方法以数组形式,返回这些请求的时间统计信息。

攻击过程

首先从TCP层看一下一个典型的HTTP请求,在三次握手之后,客户端发出一个包含请求的TCP包,通常只有几百字节,到达服务器之后,服务器生成一个response并发回给客户端。如果response的尺寸大于MSS(最大传输单元除去TCP+IP头,对于以太网来说是1460字节),服务器会将response拆成多个分组,这些分组会根据TCP慢启动算法来发送。

慢启动的算法如下(cwnd全称Congestion Window,拥塞窗口)

连接建好的开始先初始化cwnd = initcwnd,表明可以传initcwndMSS大小的数据。

每当收到一个ACKcwnd++; 呈线性上升

每当过了一个RTTcwnd = cwnd*2; 呈指数让升

还有一个ssthreshslow start threshold),是一个上限,当cwnd >= ssthresh时,就会进入拥塞避免算法(这里不涉及这个算法)

Linux 3.0之后把cwnd初始化成了10MSS

通过fetch(),我们可以知道第一次TCP数据返回的时间,如果我们再知道数据完全返回的时间,我们就能知道数据是一次TCP返回的,还是多次返回的。

这时候就要另一个Performance API来配合,通过资源的responseEnd来得到资源完全下载需要的时间。

我们把发起请求的时间记为T0,第一次TCP返回时间记为T1,完全接收时间记为T2。如果是一次返回的,那么T2-T1将是一个很小的值,通常在1ms内。如果是两次及以上的,时间会明显增加很多。

这时候看起来还是没什么卵用。然而,下一步就是利用这一点得到response的确切大小(这个大小是经过gzip,以及加密过的)。

首先来看看一次返回的情况,很多时候一个请求参数在请求的结果里会有返回,然后就可以利用这一点。我们把response分为两部分,一部分是我们想得到的实际大小,一部分是攻击者控制的请求参数,暂且称之为反射参数吧。通过重复调整反射参数,我们可以得到第一次TCP返回的最大可能尺寸(对每个服务器来说一般是个固定值)。之后,只要减去HTTPSSL/TLSheader的尺寸就可以了,而这两个都是可以预计的。

举例来说,当把反射参数调到708字节长时,正好可以一次TCP请求返回,而709就需要两次了,拿10*MSS14600字节)- 528字节的http– 26字节的SSL/TLS– 708,得到response的实际大小为13337字节。论文里介绍了两种对该算法的优化方法,这里暂时跳过。

除了反射参数这种情况,还可以对目标网站发布大量不同尺寸的内容,通过调整正常的query参数来查看返回内容的大小达到同样的目的。

对于多次TCP返回的情况,会受到慢启动算法的影响,攻击者会向一个已知尺寸的资源发起一个请求,然后再向目标资源发起请求,服务器会将拥塞窗口提高。通过调整第一个请求资源的尺寸多次分析也可以得到结果。

接下来,只要配合BREACH/CRIME等攻击,就可以轻松获取E-mail地址,社保号等信息了,而不像BREACH攻击一样还要借助中间人攻击去得到资源的大小。

另外,在HTTP2下,利用一些新特性,这种攻击的情况还会更加糟糕。


推荐阅读:


     明辰智航云安网络与虚拟化性能管理系统

返回

400-0606-891