太可怕了!五一外出还敢连WiFi?
这大大降低了攻击者执行攻击的难度,攻击者只需在人们习惯于寻找未经加密的
免费Wi-Fi的位置设置虚假的“店铺免费Wi-Fi”,大量私人设备就会愿者上钩。后来我在自己的实验室里进行了第二个实验来检查一些热门网站的行为,在这里总结一下我的发现:即使有的话,热门网站也并不总是能正确实施HTTP严格传输安全策略(即使是那些大的网站,如谷歌和网络钓鱼首先,为了成功地执行网络钓鱼攻击,攻击者可以定位一些可通过HTTP协议访问且没有正确实施HTTP严格传输安全策略的热门站点,也可能会利用域名解析服务解析请求,因为所有这些域名解析服务的数据包都是不安全的如果有人想要为更高档的网站定位凭证,也许是一个真正实施HTTP严格传输安全策略的网站,但这并不是天方夜谭,就像许多不在预加载列表中的热门网站一样,攻击者可以一直等待直到潜在受害者的计算机发出网络时间协议的请求即使在今天,在公共的Wi-Fi网络上,攻击者也可以:查看你要访问的网站(只需要拦截域名解析服务的请求);通过初始HTTP页面加载执行降级攻击和中间人攻击;通过篡改网络时间协议的数据包向计算机注入未来的时间来规避
发表评论