文件名称:sniffly
介绍说明--下载内容来自于网络,使用问题请自行百度
HTTPS Everywhere和Let s Encrypt项目的开发者Yan Zhu在上周末举行的 ToorCon 2015大会上介绍了一种滥用HSTS(HTTP Strict Transport Security)和内容安全策略(CSP)嗅探浏览器历史的时序攻击方法Sniffly(幻灯片、演示、源代码)。Sniffly允许任意网站嗅探浏览器历史:
当用户访问一个嵌入Sniffly代码的网页,它会试图通过HTTP加载来自HSTS域名的图像,Sniffly将一个CSP策略设置为限制图像通过HTTP,这意味着在重定向到HTTPS前图像源被封锁了。当图像被CSP屏蔽,它会调用处理程序onerror,onerror会先尝试计算图像从HTTP重定向到HTTPS所需的时间。如果时间是在毫秒内,那么这意味着浏览器不需要发出网络请求,也就是用户以前访问过目标域名。如果时间是100毫秒左右,那么这意味着浏览器需要发出网络请求,也就是用户以前没有访问过目标域名。
当用户访问一个嵌入Sniffly代码的网页,它会试图通过HTTP加载来自HSTS域名的图像,Sniffly将一个CSP策略设置为限制图像通过HTTP,这意味着在重定向到HTTPS前图像源被封锁了。当图像被CSP屏蔽,它会调用处理程序onerror,onerror会先尝试计算图像从HTTP重定向到HTTPS所需的时间。如果时间是在毫秒内,那么这意味着浏览器不需要发出网络请求,也就是用户以前访问过目标域名。如果时间是100毫秒左右,那么这意味着浏览器需要发出网络请求,也就是用户以前没有访问过目标域名。
(系统自动生成,下载前可以参看下载内容)
下载文件列表
sniffly-master/
sniffly-master/.gitignore
sniffly-master/LICENSE
sniffly-master/README.md
sniffly-master/src/
sniffly-master/src/index.html
sniffly-master/src/index.js
sniffly-master/util/
sniffly-master/util/process.py
sniffly-master/util/results.log.sample
sniffly-master/util/run.sh
sniffly-master/util/scrape.py
sniffly-master/util/strict-transport-security.txt
sniffly-master/util/transport_security_state_static.json
sniffly-master/.gitignore
sniffly-master/LICENSE
sniffly-master/README.md
sniffly-master/src/
sniffly-master/src/index.html
sniffly-master/src/index.js
sniffly-master/util/
sniffly-master/util/process.py
sniffly-master/util/results.log.sample
sniffly-master/util/run.sh
sniffly-master/util/scrape.py
sniffly-master/util/strict-transport-security.txt
sniffly-master/util/transport_security_state_static.json
本网站为编程资源及源代码搜集、介绍的搜索网站,版权归原作者所有! 粤ICP备11031372号
1999-2046 搜珍网 All Rights Reserved.