我们斩获GeekPwn2019大赛冠军,并入选2019年极棒名人堂

手机干净、网站安全、网络加密,受攻击方是资深网络安全专业人士,为何密码分分钟内就丢了?

10月24日,在上海举行的极棒(GeekPwn)2019国际安全极客大赛上,我们成功将同一局域网内的 HTTPS 网站二维码劫持,并劫持邮箱获取邮箱密码。 凭借“最熟悉的陌生人:一种新型的HTTPS劫持技术”项目,我们团队成功斩获本次大赛第一名,并且再次入选 GeekPwn 名人堂。

png

HTTPS协议是互联网最为重要的基础协议之一,甚至可以说HTTPS协议是支撑着互联网安全网络通信的基础,因此其安全问题长期以来备受学术界和工业界的关注。我们本次披露的HTTPS相关基础协议缺陷,已确认影响到国内外众多知名厂商。与传统的HTTPS劫持攻击原理不同,本次披露的劫持技术无需HTTP明文协议的配合即可攻击,即使用户访问的目标网站部署了HTTPS的最佳实践措施,攻击者仍然可以劫持篡改用户与网站之间的加密通信,可导致网站支付劫持、下载文件替换等严重的后果。

png

最新进展:

  1. 我们的工作已被CCS 2020录用:Talking with Familiar Strangers: An Empirical Study on HTTPS Context Confusion Attacks
张明明
张明明
博士研究生

I am a third-year Ph.D. student from Tsinghua University. I am advised by Haixin Duan as a member of the Network and Information Security Lab (NISL). My interests lie broadly in the areas of security and privacy, measurement study, protocol security, and data-driven security.

comments powered by Disqus
下一页

相关