- 2013-11-10 9:27
- 短網址
- 字型大小
-
轉: GoAgent 3.0.6 已發現的安全漏洞(缺陷)
Better GoAgent發布了幾篇關於GoAgent的安全測試,美博園轉載過來供使用GoAgent 的網友參考。美博園以前關於其安全性的提醒,請參考:
原文摘錄如下:
【摘要】
1. "local/goagent.exe" 與 "server/python/wsgi.py" 之間,存在中間人攻擊漏洞,即使您設置了 HTTPS 連接。
利用此漏洞,攻擊者可以完全監視、控制通過代理所瀏覽的網頁內容。
2. 加密演算法 rc4 在使用上存在明顯的安全缺陷,當滿足適當條件時,存在重放攻擊漏洞。
利用此漏洞,攻擊者可以完全監視通過代理所瀏覽的網頁內容。
3. 將眾所周知的 "local/CA.crt" 導入受信任的根證書頒發機構(等同於把自家的鑰匙掛在大門上),存在 HTTPS 的中間人攻擊漏洞。
利用此漏洞,攻擊者可以監視、控制未通過代理的 HTTPS 網頁內容。(比如, ICBC 電子銀行登陸信息)
【用戶影響】
1.個人隱私暴露,比如您今天上了26次 youporn~
2.敏感信息泄露,例如 youtube、facebook、twitter 等網站的帳號密碼,不論您是否用 HTTPS 方式登陸。
3.計算機被入侵,有可能~
4.其他,大家都知道的~
轉載自:https://better-goagent.blogspot.de/2013/11/goagent-306.html
本文鏈接:轉: GoAgent 3.0.6 已發現的安全漏洞(缺陷)
美博園文章均為「原創 - 首發」,請尊重辛勞撰寫,轉載請以上面完整鏈接註明來源!
軟體著作權歸原作者!個別轉載文,本站會註明為轉載。
本文鏈接:轉: GoAgent 3.0.6 已發現的安全漏洞(缺陷)
美博園文章均為「原創 - 首發」,請尊重辛勞撰寫,轉載請以上面完整鏈接註明來源!
軟體著作權歸原作者!個別轉載文,本站會註明為轉載。
關注更多相關文章:
網 友 留 言
3條評論 in “轉: GoAgent 3.0.6 已發現的安全漏洞(缺陷)”這裡是你留言評論的地方
不要無病呻吟了,我來替作者解答一下你
1,中間人攻擊問題,你可以在proxy.ini中將validate = 0設置為validate = 1 即可避免中間人攻擊
2,rc4是國際公認的安全演算法,而且goagent的使用方式十分合理,是你詳細說出破解方法。不要說暴力破解,你有這個能力么?
3,CA.crt問題,你可以把這個文件刪除,然後goagent會為你生成一個獨一無二的新CA.crt。
所以你列舉的問題都不是問題,請不要再無病呻吟了
你的所謂攻擊忽略了一個最重要的問題,就是你必須能獲得rc4密鑰,眾所周知,你不可能通過逆向運算獲得密鑰,所以也不可能通過你所謂的方式獲得並修改回傳的數據內容,因為沒有密鑰幾乎不可能解密rc4數據
@ onionhacker :
謝謝回復,專家們多方面討論一下很好,其安全性會更加完善。原文作者應該是可以看到這個回復。
厲害@ onionhacker :