ALPACA攻擊是一種可以針對安全網站發起跨協議攻擊的新型TLS攻擊。

TLS是確保網際網路上伺服器和客戶端之間通訊安全的網際網路標準，比如web伺服器、FTP伺服器和郵件伺服器。TLS是獨立於應用層的，可以應用於不同的通訊協議中。

ALPACA是一種利用實現不同協議的TLS伺服器的應用層協議內容混淆攻擊。攻擊者可以將一個子域名的流量重定向到另一個子域名，生成有效的TLS會話。這會打破TLS認證，並可能進一步發起跨協議攻擊。

研究人員對TLS跨協議攻擊進行了分析，並對web伺服器進行了案例研究，發現可以成功從受害者的web瀏覽器重定向HTTPS請求到SMTP、IMAP、POP3和FTP伺服器。在真實的攻擊場景中，攻擊者可以提取會話cookie和其他隱私使用者資料，或在有漏洞的web伺服器環境下執行任意JS內容，繞過TLS和web應用安全措施。

上圖是攻擊者對web伺服器發起跨協議攻擊，利用有漏洞的FTP和郵件伺服器的三種方式——上傳攻擊、下載攻擊和反射攻擊。在上傳攻擊（Upload Attack）中，攻擊者可以竊取認證cookie和其他隱私資料。在下載攻擊（Download Attack）中，攻擊者可以執行儲存型XSS攻擊。在反射攻擊中，攻擊者可以在受害者網站環境下執行反射XSS攻擊。

研究人員在實驗室環境對web瀏覽器和廣泛部署的郵件和FTP伺服器進行了攻擊面分析，發現140萬web伺服器易收到跨協議攻擊。其中，11。9萬web伺服器可以利用有漏洞的應用伺服器來進行攻擊。

雖然該漏洞是條件性的，而且很難利用，但是隻要對web有了解的駭客就可以利用一些配置資訊。此外，研究人員還分析了其他的協議，發現存在其他型別的攻擊場景。

為應對類似的攻擊，研究人員提出使用應用層協議協商（Application Layer Protocol Negotiation （ALPN））和伺服器名指示（Server Name Indication）擴充套件來預防錫類跨協議攻擊。研究人員還建議管理員檢查TLS實現和部署，建議伺服器和客戶端的應用開發者主動對所有的協議應用防護措施。

ALPACA攻擊將在 Black Hat USA 2021和USENIX Security Symposium 2021大會上作展示，研究論文參見：https：//alpaca-attack。com/ALPACA。pdf

相關程式碼參見GitHub：https：//github。com/RUB-NDS/alpaca-code/

參考及來源：https：//alpaca-attack。com/