Problem Analysis and Solution Development for HSTS malfunction and SSL Stripping Attacks on Web Security

Abstract

SSL (Secure Socket Layer) stripping attack was one of the most popular techniques to bypass the SSL protocol, causing the website to do not communicate via HTTPS. So, an HSTS (HTTP Strict Transport Security) mechanism had been proposed to solve this problem. However, several recent studies have reported that some online banking systems and e-commerce websites could be effectively attacked by the SSL stripping technique again, even with an HSTS setting. Hence, this thesis investigates and analyzes the reasons behind the malfunction of HSTS and the return of SSL stripping attacks. To analyze the problem, testbed experiments have been done on 11 Thai online banking websites, 4 e-commerce websites, 11 university registration system websites, 2 volunteer websites. Furthermore, HTTP response headers and the hacker scripts hackers have been analyzed. The causes of the problems have finally been analyzed, and the setting solutions are suggested. In addition, this thesis has also developed an extra solution as a second security layer of SSL to protect against sniffing. The solution is designed on the concepts of a salted hash password and mobile OTP (One Time Password). The prototype of the solution has been developed. Security and performance analysis has been done. We have found that the sniffing-protection solution is useful and causes very little performance overhead.

การโจมตีด้วยการเปลือยเอสเอสแอลเป็นหนึ่งในเทคนิคยอดนิยมเพื่อหลบหลีกจากโพรโทคคอลเอสเอสแอล ทำให้เว็บไซต์ไม่มีการสื่อสารผ่านเอชทีทีพีเอส ดังนั้นกลไกเอชเอสทีเอสจึงได้ถูกนำเสนอเพื่อแก้ปัญหาดังกล่าว แต่อย่างไรก็ตาม หลายการศึกษาเมื่อไม่นานมานี้ ได้รายงานว่าระบบธนาคารออนไลน์และเว็บอีคอมเมิร์ซหลายแห่ง ถูกโจมตีอย่างได้ผลด้วยการเปลือยเอสเอสแอล แม้จะมีการตั้งค่าเอชเอสทีเอสแล้วก็ตาม ดังนั้นวิทยานิพนธ์นี้ จึงทำการตรวจสอบและวิเคราะห์หาเหตุผลเบื้องหลังการทำงานล้มเหลวของเอชเอสทีเอส และการกลับมาโจมตีได้ใหม่ของการเปลือยเอสเอสแอล เพื่อวิเคราะห์ปัญหา ได้มีการทดลองบนเครือข่ายเพื่อการทดสอบ ต่อเว็บธนาคารออนไลน์ของไทย 11 แห่ง ระบบเว็บอีคอมเมิร์ซ 4 เว็บ เว็บระบบทะเบียนของมหาวิทยาลัยในไทย 11 เว็บ และเว็บอาสาสมัครอีก 2 เว็บ นอกจากนี้ ยังมีการวิเคราะห์เฮดเดอร์ของเอชทีทีพีที่ตอบกลับมา และวิเคราะห์สคริปต์ที่แฮกเกอร์ใช้ในการโจมตี ในที่สุดสาเหตุของปัญหาก็ได้รับการวิเคราะห์และแนวทางในแก้ปัญหาจากการตั้งค่าได้ถูกเสนอแนะ ยิ่งไปกว่านี้ วิทยานิพนธ์นี้ยังได้พัฒนาแนวทางแก้ปัญหาเพิ่มเติมเพื่อเป็นชั้นที่สองจากเอสเอสแอลเพื่อป้องกันการดักจับข้อมูล แนวทางการแก้ปัญหานี้ถูกออกแบบจากแนวคิด รหัสผ่านที่ถูกแฮชกับซอลท์ และรหัสผ่านใช้ครั้งเดียวผ่านโทรศัพท์มือถือ ต้นแบบของแนวทางแก้ปัญหาดังกล่าวได้ถูกพัฒนา และได้ถูกวิเคราะห์สมรรถภาพและความมั่นคง เราได้พบว่าแนวทางการป้องกันการแอบดักจับข้อมูลที่เสนอมีประโยชน์และมีต้นทุนทางสมรรถภาพเพียงเล็กน้อย