欢乐颂小说结局是什么,手机推荐排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

思科、Juniper等免客戶端SSLVPN均含漏洞

原標(biāo)題：免客戶端SSL VPN產(chǎn)品暴露漏洞可能導(dǎo)致企業(yè)用戶

創(chuàng)新互聯(lián)服務(wù)項目包括站前網(wǎng)站建設(shè)、站前網(wǎng)站制作、站前網(wǎng)頁制作以及站前網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，站前網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到站前省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

來自美國計算機(jī)應(yīng)急響應(yīng)組織(USCERT)的警告顯示，多家供應(yīng)商的免客戶端SSLVPN產(chǎn)品都存在漏洞，可能破壞網(wǎng)絡(luò)瀏覽器的基本安全機(jī)制。

　　至少在2006年該安全漏洞就被發(fā)現(xiàn)，可能導(dǎo)致攻擊者利用這些設(shè)備來繞過身份認(rèn)證或進(jìn)行其它類型的網(wǎng)絡(luò)攻擊。瞻博網(wǎng)絡(luò)、思科系統(tǒng)、 SonicWall和SafeNet公司的免客戶端VPN產(chǎn)品都被證實存在此漏洞。

　　簡單得說：

　　只要說服用戶訪問一個特制網(wǎng)頁，遠(yuǎn)程攻擊者就能夠不分地域地通過免客戶端SSLVPN竊取到VPN會話令牌、讀取或修改里面的信息(包括緩存 cookies、腳本或超文本內(nèi)容)。這將致使所有網(wǎng)絡(luò)瀏覽器上統(tǒng)一的原始策略管制失效。舉例來說，這一方式可以讓攻擊者捕捉到受害者與網(wǎng)頁進(jìn)行數(shù)據(jù)交換時的按鍵記錄。因為所有的內(nèi)容都運(yùn)行在網(wǎng)絡(luò)VPN域的特權(quán)級別。包括例如IE安全區(qū)以及火狐瀏覽器的NoScript插件在內(nèi)的一些基于域內(nèi)容進(jìn)行管制的安全機(jī)制，將都有可能被黑客繞過。

　　免客戶端VPN產(chǎn)品提供了基于瀏覽器訪問企業(yè)內(nèi)部網(wǎng)的功能，但根據(jù)來自US-CERT的警告，它們破壞了網(wǎng)絡(luò)瀏覽器的基本安全機(jī)制，可能導(dǎo)致某些活動內(nèi)容(JavaScript之類)連接其它網(wǎng)站并更改數(shù)據(jù)。

　　警告提示到：“很多免客戶端SSLVPN產(chǎn)品從不同的網(wǎng)站獲取內(nèi)容，并通過SSLVPN連接進(jìn)行提交，有效地繞過瀏覽器對相同來源的限制?！?/p>

　　在攻擊中，惡意黑客可以創(chuàng)建一個網(wǎng)頁，利用客戶端代碼(document.cookie)這種方式

　　制造混淆以回避網(wǎng)絡(luò)VPN的重寫，接下來返回頁面中的客戶端代碼項目就可以對網(wǎng)絡(luò)VPN域中所有用戶的緩存cookies進(jìn)行編輯。

　　US-CERT認(rèn)為典型的客戶端代碼可以包括網(wǎng)絡(luò)VPN會話IDcookie本身以及所有需要通過網(wǎng)絡(luò)VPN回應(yīng)的緩存cookies?！肮粽呖梢岳眠@些cookies來劫持用戶的VPN會話，以及需要通過網(wǎng)絡(luò)VPN對會話確認(rèn)cookie進(jìn)行回應(yīng)的其他所有會話?！?/p>

　　此外，攻擊者可以建立一個包含兩個框架的頁面：一個框架是隱藏的，而顯示框架包含是的合法內(nèi)部網(wǎng)站的頁面。US-CERT進(jìn)一步指出，隱藏的框架可以記錄所有的按鍵信息，在合法框架提交所有信息的時間，利用XMLHttpRequest參數(shù)將按鍵信息傳送到攻擊者的站點，由VPN網(wǎng)絡(luò)語法重寫。

　　該組織聲稱，沒有解決這個問題而帶來更大的問題是，取決于它們的具體配置和網(wǎng)絡(luò)中的位置，這些設(shè)備可能無法安全運(yùn)行。

　　IT管理員應(yīng)考慮以下變通的辦法：

　　? 對URL網(wǎng)址重寫成受信域的情況進(jìn)行限制

　　如果VPN服務(wù)器支持的話，URL網(wǎng)址重寫操作只能針對受信任的內(nèi)部網(wǎng)站。所有其他網(wǎng)站和網(wǎng)域不應(yīng)該被容許通過VPN服務(wù)器。

　　由于攻擊者只需要說服用戶通過VPN瀏覽訪問特定網(wǎng)頁就可以利用此漏洞，這種解決辦法可能是不那么有效，特別是在有大量的主機(jī)或者域可以通過 VPN服務(wù)器進(jìn)行訪問的時間。在作出決定，什么樣的網(wǎng)站才能容許使用VPN服務(wù)器進(jìn)行訪問的時間，最重要的是要記住，所有容許訪問的網(wǎng)站應(yīng)該符合網(wǎng)絡(luò)瀏覽器在安全方面的要求。

　　? 限制VPN服務(wù)器網(wǎng)絡(luò)對信任域的連接

　　也許還可以對VPN設(shè)備進(jìn)行配置，只容許訪問特定的網(wǎng)絡(luò)域名。這一限制也可以通過使用防火墻規(guī)則來實現(xiàn)。

　　? 禁用URL網(wǎng)址隱藏功能

　　這樣的話，就可以防止隱藏目標(biāo)頁網(wǎng)址對用戶造成混淆。使用了該功能，攻擊者就無法隱瞞他們發(fā)送的任何鏈接目標(biāo)頁面。舉例來說，https:// /attack-site.com 與https:/ / / 778928801的區(qū)別就很容易被發(fā)現(xiàn)?

當(dāng)前標(biāo)題：思科、Juniper等免客戶端SSLVPN均含漏洞
網(wǎng)站路徑：http://m.fisionsoft.com.cn/article/djjchce.html

新聞中心

其他資訊