研究人员揭露新型TLS攻击ALPACA，可突破TLS保护窃取受害者Cookie和资料

德国波鸿鲁尔大学研究人员Marcus Brinkmann等资安研究人员，揭露了一个即将在美国黑帽大会上发表的ALPACA新型TLS攻击，攻击者利用传输层安全性（TLS）未能保护TCP连接完整性的弱点，将HTTPS流量从受害者的网页浏览器，重新导向另一个IP的TLS端点，以窃取机密资讯。

TLS是一种互联网标准，可以用来保护客户端和服务器之间的通讯，包括网页、FTP和电子邮件服务器。由于TLS独立于应用层的设计，因此允许被用于不同的通讯协定中。

正常来说，当用户存取受HTTPS保护的网站时，浏览器会先确保数位签章有效后，才会与服务器交换资料，这能够防止攻击者从中取得身份验证Cookie，或是在存取的装置上执行恶意程式码，来监控并且窜改浏览器与服务器间传递的资料，而这个称为ALPACA的攻击，可以允许攻击者发动中间人攻击，使浏览器混淆并且意外连接到，使用相容凭证的电子邮件服务器或FTP服务器。

ALPACA是一种应用层协定内容混淆攻击，攻击者利用实作不同协定但是凭证相容的TLS服务器，来进行攻击，攻击者可以将流量从一个子网域重新导向另一个子网域，而这破坏了TLS的身份验证，同时也使得应用层的协定服务相互破坏，让受害者遭到跨协定攻击。

研究人员研究了TLS跨协定攻击整体危害，并且试着将HTTPS请求从受害者的网页浏览器，导向SMTP、IMAP、POP3以及FTP服务器，他们发现，在实际的使用情境，攻击者可以轻易地绕过TLS和网页应用安全保护机制，攻击存在漏洞的网页服务器，并且撷取对话（Session）Cookie，和其他私密资料，甚至能够执行任意JavaScript程式码。

攻击者发动ALPACA攻击，能以三种方法攻击受害者，第一种是上传攻击，攻击者可以窃取身份验证Cookie和私密资料，第二种是下载攻击，攻击者可以执行储存型跨站脚本攻击，第三则是反射攻击，攻击者在受害者网站上下文执行反射型跨站脚本攻击。

研究人员评估现有广泛使用的网页浏览器、Email服务器与FTP服务器，并且对互联网进行扫描，总共发现约140万个容易受到跨协定攻击的网页服务器，其中11.9万网页服务器能被以应用程序服务器进行攻击。要避免受到ALPACA攻击的对策，研究人员建议可以使用TLS中的ALPN（Application Layer Protocol Negotiation）与SNI（Server Name Indication）扩充套件，来避免跨协定攻击。

研究人员还提到，虽然ALPACA攻击需要特定情境才能成立，可以说难以被使用，但是当中仍然有一些配置，可以简单地为网页攻击者所用，而且由于他们只能分析有限数量的协定，所以可能还存在其他易受攻击的情境，因此仍然建议管理员检查部署，应用程序开发人员也应针对所有协定，主动实行防御对策。