GeekPWN 2019:我们获极棒国际安全极客大赛冠军,并入选2019年极棒名人堂

手机干净、网站安全、网络加密,受攻击方是资深网络安全专业人士,为何密码分分钟内就丢了?

10月24日,在上海举行的极棒 (GeekPwn) 2019国际安全极客大赛上,我们成功将同一局域网内的 HTTPS 网站二维码劫持,并劫持邮箱获取邮箱密码。 凭借“最熟悉的陌生人:一种新型的HTTPS劫持技术”项目,我们团队成功斩获本次大赛第一名,并且再次入选 GeekPwn 名人堂。

png

HTTPS协议是互联网最为重要的基础协议之一,甚至可以说HTTPS协议是支撑着互联网安全网络通信的基础,因此其安全问题长期以来备受学术界和工业界的关注。我们本次披露的HTTPS相关基础协议缺陷,已确认影响到国内外众多知名厂商。与传统的HTTPS劫持攻击原理不同,本次披露的劫持技术无需HTTP明文协议的配合即可攻击,即使用户访问的目标网站部署了HTTPS的最佳实践措施,攻击者仍然可以劫持篡改用户与网站之间的加密通信,可导致网站支付劫持、下载文件替换等严重的后果。

png

最新进展:

  1. 我们的工作已被CCS 2020录用:Talking with Familiar Strangers: An Empirical Study on HTTPS Context Confusion Attacks
沈凯文
沈凯文
清华大学 博士研究生

我们团队在近几年的研究中揭示了一个共性的问题,协议在多方理解与实现中不一致带来的安全问题。欢迎对此感兴趣的研究者们加入我们,一起合作探讨:)

下一页