[閒聊] 2020-M1 Domain Fronting

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間4年前 (2020/02/23 19:44)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

因為參加聚會才知道一個詞：domain fronting[0]，看起來是一個有點年代的技術簡單來說可以說是 HTTPS/HTTP 之間資料不一致而延伸的功能在 HTTPS 的世界中需要使用 DNS + 憑證來驗證是否為有效的 HTTPS 網站因為 DNS 跟憑證都是明文傳遞所以在很多情況下都可被審查但是在 TLS 的環境下因為封包內容加密在國家級力量尚未介入之前 TLS 之下的封包內容在沒有憑證解密的前提之下可當作是安全的 Domain Frongint 的概念就是 DNS / HTTPS 使用的為 example.com 網址但是內容使用的 HTTP HOST 則使用 hidden.example.com 這樣攻擊者就可以透過自己寫的 client 軟體 - 架設(?) 一個正常的網站 example.com - 將資料傳送給 cc.example.com - 使用 HTTPS 傳送：使用 example.com 的憑證、封包指向到 example.com - 正常的網站可以用 example.com 解析 TLS、HTTPS - HTTP 封包使用 HOST=cc.example.com - 內容導向到 cc.example.com (使用 vhost 或者 proxy-pass) [0]: https://en.wikipedia.org/wiki/Domain_fronting ---- 最近學到一個詞： ~ God Feeling ~ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.229.215 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1582458258.A.C87.html