新研究显示 XTLS VLESS REALITY 代理协议存在潜在的可被启发式扫描的结构性指纹漏洞
根据安全人员分析显示:广泛使用的 XTLS VLESS REALITY 代理协议存在「可被精准识别」(编辑注:是否能被精准识别存在疑问,保留原文表述)的结构性漏洞。该漏洞源于协议开发者在实现过程中直接复制 Go crypto/tls 标准库代码,导致其 ChangeCipherSpec 记录计数器最大阈值设为 16,而主流网站使用的 OpenSSL/BoringSSL 为 32。
研究人员利用这一差异设计了主动探测方法:
更新:该方法可以作为一种可用的启发式检测手段,我们认为这不能作为精准识别的确定性手段,因为其误报风险非常高。
编辑注:我们观察到对于此问题意见并不统一,我们会审慎观察后续回复后跟踪此问题。
研究博文
🍀在花频道 🍵茶馆聊天 📮投稿
根据安全人员分析显示:广泛使用的 XTLS VLESS REALITY 代理协议存在「可被精准识别」(编辑注:是否能被精准识别存在疑问,保留原文表述)的结构性漏洞。该漏洞源于协议开发者在实现过程中直接复制 Go crypto/tls 标准库代码,导致其 ChangeCipherSpec 记录计数器最大阈值设为 16,而主流网站使用的 OpenSSL/BoringSSL 为 32。
研究人员利用这一差异设计了主动探测方法:
首先重放真实的 VLESS REALITY 握手包并插入 ChangeCipherSpec 记录,记录触发错误所需的记录数量;随后使用篡改的握手包触发协议的"回落"机制,再次测试记录数量。通过对比两次测试结果的差异,可准确识别目标服务器是否运行 XTLS VLESS REALITY 服务。
更新:该方法可以作为一种可用的启发式检测手段,我们认为这不能作为精准识别的确定性手段,因为其误报风险非常高。
编辑注:我们观察到对于此问题意见并不统一,我们会审慎观察后续回复后跟踪此问题。
研究博文
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: