CRIME проти HTTPS
20:09 12.08.2013Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про CRIME проти HTTPS. Рекомендую подивитися всім хто цікавиться цією темою.
В даному відео ролику розповідається про використання CRIME-атаки. Compression Ratio Info-leak Made Easy (CRIME) - це інструментарій для атаки на SSL/TLS та SPDY протоколи, що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії.
У відео показане використання CRIME для отримання кукісів на популярних сайтах. Даний інструментарій дешифрує переданий в рамках https-з’єднання сесійний кукіс. Рекомендую подивитися дане відео для розуміння векторів атак через уразливість в SSL/TLS та SPDY протоколах.