最近几个研究人员独立地描述了WPAD中的这些弱点。 在黑帽会议上有两次会谈(1,2),一次在Def Con会议上的Def Con一次。
WPAD被提议作为1999年IETF的草案,但它从未成为一个官方RFC。 但所有主流浏览器仍然支持它。 一些浏览器供应商不容易受到攻击,因为他们剥离了URL,其他浏览器厂商已经实施了类似的保护,以响应最近的发现。
文档编写日期:2016年08月31日
WPAD可能泄露HTTPS的URL
一项非常古老的为代理自动配置参数的功能可能会产生HTTPS的链接安全问题。PAC和WPAD允许系统自动配置浏览器网站代理的设置。WPAD文件运行在每个URL请求上运行Javascript,这就可能URL通过DNS请求被泄露。WPAD规范文件可以通过各种方法获取,它们都没有任何保护。
最近几个研究人员独立地描述了WPAD中的这些弱点。 在黑帽会议上有两次会谈(1,2),一次在Def Con会议上的Def Con一次。
WPAD被提议作为1999年IETF的草案,但它从未成为一个官方RFC。 但所有主流浏览器仍然支持它。 一些浏览器供应商不容易受到攻击,因为他们剥离了URL,其他浏览器厂商已经实施了类似的保护,以响应最近的发现。
文档编写日期:2016年08月31日
最近几个研究人员独立地描述了WPAD中的这些弱点。 在黑帽会议上有两次会谈(1,2),一次在Def Con会议上的Def Con一次。
WPAD被提议作为1999年IETF的草案,但它从未成为一个官方RFC。 但所有主流浏览器仍然支持它。 一些浏览器供应商不容易受到攻击,因为他们剥离了URL,其他浏览器厂商已经实施了类似的保护,以响应最近的发现。
文档编写日期:2016年08月31日