Wednesday, November 6, 2013

GoAgent 3.0.6 已发现的安全漏洞(缺陷)


【摘要】
1. "local/goagent.exe" 与 "server/python/wsgi.py" 之间,存在中间人攻击漏洞,即使您设置了 HTTPS 连接。
    利用此漏洞,攻击者可以完全监视、控制透过代理所浏览的网页内容。

2. 加密算法 rc4 在使用上存在明显的安全缺陷,当满足适当条件时,存在重放攻击漏洞
    利用此漏洞,攻击者可以完全监视透过代理所浏览的网页内容。

3. 将众所周知的 "local/CA.crt" 导入受信任的根证书颁发机构(等同于把自家的钥匙挂在大门上),存在 HTTPS 的中间人攻击漏洞
    利用此漏洞,攻击者可以监视、控制未透过代理的 HTTPS 网页内容。(比如, ICBC 电子银行登陆信息)

【用户影响】
1.个人隐私暴露,比如您今天上了26次 youporn~
2.敏感信息泄露,例如 youtube、facebook、twitter 等网站的帐号密码,不论您是否用 HTTPS 方式登陆。
3.计算机被入侵,有可能~
4.其他,大家都知道的~

No comments:

Post a Comment