GoAgent漏洞可导致中间人攻击风险 V2017

GoAgent漏洞可导致中间人攻击风险 V2017

GoAgent漏洞可导致中间人攻击风险

国产软件 无广告

更新日期:2024/12/22 分类标签: 语言:简体中文 平台:XP/Win7/Win8/Win10

历史版本(2) 79 人已下载 手机版

明霞山资源网 Design By www.htccd.com

众所周知,GoAgent利用 Google App Engine(GAE) 来翻墙代理上网的一个工具,深受网民的欢迎。但是,大家是否知道GoAgent 的安装和配置中存在两点严重安全风险的问题却鲜为人知。(以下为国外原文,对少数句子词语和标点进行了调整。)

GoAgent 导入公开私钥的根证书的问题

· 测试页面

· 如何防范风险

· 如何删除 GoAgent CA 证书

GoAgent 没有进行正确的 TLS 验证,存在中间人攻击的风险 

· 如何防范风险

GoAgent (https://github.com/goagent/goagent) 利用 Google App Engine(GAE) 来代理上网的一个工具,深受网民的欢迎。但是,GoAgent 的安装和配置中存在两点严重安全风险的问题却鲜为人知。这两点安全风险都可能被攻击者利用进行 “中间人攻击(man-in-the-middle attack)” 来窃取 GoAgent 用户的网络帐号密码等敏感信息,其概括描述如下:

-   GoAgent 在启动时会尝试自动往系统的可信根证书中导入一个名为 “GoAgentCA” 的证书。由于这个证书的私钥是公开的,导致任何人都可以利用这个私钥来伪造任意网站的证书,进行 HTTPS 中间人攻击。即使在不开启 GoAgent 时,这种攻击的风险仍然存在。换而言之,一旦这个证书被导入,攻击者可以用此绕过几乎所有网站的 HTTPS 保护。

-  GoAgent 本身对 TLS 证书的认证存在问题,而且默认时不对证书进行检查,这导致在使用 GoAgent 时存在 HTTPS 中间人攻击的风险。

事实上曾经有用户在 GoAgent 主页上的问题跟踪列表中指出了这两个安全问题(见以下链接),但既没有修复也没有广泛公开,多数用户,尤其是非中文用户可能并不知情。下面是这两个问题的详细解释。

-   https://code.google.com/p/goagent/issues/detail?id=11091 

  -   https://code.google.com/p/goagent/issues/detail?id=8031 

GoAgent 导入公开私钥根证书的问题 

GoAgent 在启动时会尝试在系统中导入一个根证书来避免访问 HTTPS 网站时的证书报警,但在默认情况下所导入证书的私钥是公开的。因为私钥公开,任何人可以作为 “GoAgent CA” 来签发任何网站的证书。即使在 GoAgent 没有启动甚至卸载的情况下,这个公钥仍会遗留在系统中。在有些系统中,GoAgent 所导入的根证书不仅被 GoAgent 默认使用的浏览器信任,其他的浏览器也可能会信任这一根证书,从而受到这一问题的影响。

GoAgent 所导入的这一公开私钥根证书的指纹是:

SHA1 Fingerprint=AB:70:2C:DF:18:EB:E8:B4:38:C5:28:69:CD:4A:5D:EF:48:B4:0E:33MD5 Fingerprint=56:B1:20:86:1B:0A:B0:61:38:00:1B:C3:67:CF:0C:CC

包含这一 “GoAgent CA” 证书以其私钥(文件中 “—–BEGIN RSA PRIVATE KEY—–” 位置)的文件 URL 为: 

https://github.com/goagent/goagent/blob/c4386808ea943e2ebed25f1e5264943354e3f9cb/local/CA.crt 

根据版本信息,这一证书和私钥从 2011 年 6 月甚至更早的时间以来一直保持不变。 

https://github.com/goagent/goagent/blob/fa9959e577395e48a477fd5495afbc2363a51baa/local/CA.key 

GoAgent 主要包含两个部分:一个在用户计算机上运行的本地代理程序proxy.py,以及一个在 GAE 上运行的远程代理程序 gae.py。 

https://github.com/goagent/goagent/blob/c4386808ea943e2ebed25f1e5264943354e3f9cb/local/proxy.py 

https://github.com/goagent/goagent/blob/c4386808ea943e2ebed25f1e5264943354e3f9cb/server/gae/gae.py

安装时,用户需要上传 gae.py 到 GAE。用户浏览器通过设置一个本地代理将HTTP/HTTPS 请求转发到 proxy.py,再由 proxy.py 和 gae.py 进行通信。

默认情况下,GoAgent 在启动时试图导入上述 GoAgent CA 证书。具体的代码为proxy.py 中的 CertUtil.import_ca: 

去官方网站了解更多

推荐软件下载

名称
日期
大小
状态
版本
下载
IDM免激活绿色版
2020-08-01
5.6MB
绿色版
v6.38.2
2020-08-01 v6.38 build 2 新版特性
  • 解决了几种类型视频流下载问题;
  • 改进了对浏览器下载内容的接管;
  • 其它错误修正。
硬核修改程序,解除功能限制,免激活,不弹序列号弹窗,免去激活反弹!
10.2.13最新
2019-07-10
19.5 MB
官方版
英语

相关软件

莱莎的炼金工房2 Atelier Ryza
莱莎的炼金工房2 Atelier Ryza2 天翼云盘 v2.0
仙剑奇侠传七 试玩版 10.50G 天
仙剑奇侠传七 试玩版 10.50G 天翼云盘下载
腾讯QQ电脑版 v9.4.2(27655) 正
腾讯QQ电脑版 v9.4.2(27655) 正式版去除广告绿色精简纯净版
WinToHDD v4.8企业版 好用的系
WinToHDD v4.8企业版 好用的系统重装和克隆软件
万年历 5.0.0 无任何广告 Andr
万年历 5.0.0 无任何广告 Android 安卓 免费版
文件批量重命名工具Advanced R
文件批量重命名工具Advanced Renamer v3.87 中文绿色版 x86 x64
明霞山资源网 Design By www.htccd.com

暂无"GoAgent漏洞可导致中间人攻击风险"评论

暂无"GoAgent漏洞可导致中间人攻击风险"评论...

《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。

《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。