E安全7月28日讯 英国网络安全咨询公司Context的两名研究人员Alex Chapman和Paul Stone发现新型攻击方法，攻击者使用WPAD协议和PAC文件收集用户正在访问的HTTPS网站信息。

WPAD是Web Proxy Auto-Discovery的缩写，中文意思是Web代理服务器自动发现。WPAD是在网络广播代理配置的一种协议。这种“广播”操作使用PAC文件或代理自动配置（代理配置）来完成，代理配置在路由到目标位置之前被浏览器或其它联网应用程序接收。

攻击泄露HTTPS网站的完整URL路径

Chapman 和Stone表示，攻击者可以利用被劫持的网络嗅探传输中的PAC文件并将恶意代码注入到内容文件中。当WPAD服务器使用HTTP而非HTTPS传输代理配置文件时，可能会出现这种情况。

这两名研究人员表示，其中一个可用的PAC功能可以让攻击者泄露HTTPS网站的完整URL。通常情况下，当某人试图嗅探HTTPS流量时，通常只会看URL的部分内容—https://domain-name.com。

而这种漏洞攻击允许恶意入侵者捕获完整的URL路径，比如https://domain-name.com/page/about/easyaq.html。

此类攻击可能没有BadTunnel或Hot Potato般具有毁灭性，但却是通过破坏HTTPS流量保护收集目标网站流量历史的一种简单方法。

苹果与谷歌公司修复了漏洞，微软待修复

此漏洞影响所有了所有的操作系统，因为所有的系统均支持WPAD和PAC文件。研究人员通知了所有厂商，一些厂商已经修补了漏洞，包括苹果的iOS和OS X，谷歌的Android和 Chrome。

两名研究人员推荐使用Windows的用户，要么关掉WPAD支持，要么不在网络上使用。建议通常只在安装有防火墙的公司网络上使用。

部署有WPAD和PAC的Windows联网用户应在Internet属性下LAN设置中禁用默认的“自动检测设置”选项。